80
DAFTAR PUSTAKA
1. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Audit Guidelines, IT Governance Institute. 2. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Control Objectives, IT Governance Institute. 3. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT Executive Summary, IT Governance Institute. 4. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Framework, IT Governance Institute. 5. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Implementation Tool Set, IT Governance Institute. 6. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Management Guidelines, IT Governance Institute. 7. IT Governance Institute, 2003, Board Briefing on IT Governance, 2nd Edition. 8. IT Governance Institute, 2000, IT Governance Executive Summary. 9. IT Governance Institute, 2003, IT Governance Implementation Guide: “How do I use COBIT to implement IT governance?”. 10. IT Governance Institute, 2004, COBIT Mapping, Overview of International IT Guidance. 11. IT Governance Institute, 2005, COBIT 4.0: Control Objectives, Management Guidelines, Maturity Models. 12. Pandji, B, Wolfgang, 2007, Perancangan Model Tata Kelola Teknologi Informasi Berbasis Teknologi Informasi Berbasis COBIT Pada Proses Pengelolaan Data Studi Kasus : PT PLN (PERSERO) Distribusi Jawa Timur. Tesis Program Magister, Institut Teknologi Bandung. 13. PT. Surveyor Indonesia, 2006, Master Plan Teknologi Informasi PT. Surveyor Indonesia. 14. Sadrah, Roni, 2005, Perancangan Model Pengelolaan Teknologi Informasi PT.Pupuk Kujang pada domain PO dan AI Framework COBIT, Tesis Program Magister, Institut Teknologi Bandung.
LAMPIRAN
81
LAMPIRAN A – PEMETAAN COBIT Pemetaan COBIT 3 ke COBIT 4.1 COBIT 3 COBIT 4.1 PO (Planning and Organisation) PO1 Mendefinisikan sebuah rencana TI strategis 1.1 TI sebagai bagian dari rencana 1.4 jangka pendek dan jangka panjang organisasi 1.2 Rencana jangka panjang TI 1.4 1.3 Struktur dan pendekatan – rencana 1.4 jangka panjang TI 1.4 Perubahan rencana jangka panjang 1.4 TI 1.5 Perencanaan jangka pendek untuk 1.5 fungsi TI 1.6 Komunikasi mengenai rencana1.4 rencana TI 1.7 Pengawasan dan evaluasi rencana1.3 rencana TI 1.8 Penilaian terhadap sistem yang 1.3 sedang berjalan PO2 Mendefinisikan arsitektur informasi 2.1 Model arsitektur informasi 2.1 2.2 Kamus data perusahaan dan aturan 2.2 sintaks data 2.3 Skema klasifikasi data 2.3 2.4 Tingkat keamanan 2.3 PO3 Menentukan arahan teknologi 3.1 Perencanaan infrastruktur teknologi 3.1 3.2 Memonitor regulasi dan tren di 3.3 masa yang akan datang 3.3 Kontingensi infrastruktur teknologi 3.1 3.4 Rencana perolehan hardware dan 3.1, AI3.1 software 3.5 Standar teknologi 3.4, 3.5 PO4 Mendefinisikan hubungan dan organisasi TI 4.1 Perencanaan atau steering commitee 4.3 TI 4.2 Penempatan fungsi TI pada 4.4 organisasi 4.3 Review mengenai pencapaian 4.5 organisasi 4.4 Peran dan tanggung jawab 4.6 4.5 Tanggung jawab untuk jaminan 4.7 kualitas
82
4.6 Tanggung jawab untuk keamanan 4.8 fisik dan logis 4.7 Kepemilikan dan pemeliharaan 4.9 4.8 Kepemilikan data dan sistem 4.9 4.9 Supervisi 4.10 4.10 Pembagian tugas 4.11 4.11 Penugasan staf TI 4.12 4.12 Deskripsi posisi atau pekerjaan 4.6 untuk staf TI 4.13 Personil utama TI 4.13 4.14 Prosedur dan kebijakan staf yang 4.14 dikontrak 4.15 Relasi 4.15 PO5 Mengelola investasi TI 5.1 Anggaran tahunan pengoperasian TI 5.3 5.2 Pengawasan manfaat dan biaya 5.4 5.3 Manfaat dan biaya 1.1, 5.3 5.4 Justifikasi 5.5 PO6 Mengkomunikasikan arahan dan tujuan manajemen 6.1 Lingkungan kendali informasi 6.1 positif 6.2 Tanggung jawab manajemen 6.3, 6.4, 6.5 terhadap kebijakan 6.3 Komunikasi mengenai kebijakan 6.3, 6.4, 6.5 organisasi 6.4 Sumberdaya untuk implementasi 6.4 kebijakan 6.5 Penetapan kebijakan 6.3, 6.4, 6.5 6.6 Kepatuhan terhadap kebijakan, 6.3, 6.4, 6.5 prosedur dan standar 6.7 Komitmen kualitas 6.3, 6.4, 6.5 6.8 Kebijakan framework kendali 6.2 internal dan keamanan 6.9 Hak kekayaan intelektual 6.3, 6.4, 6.5 6.10 Kebijakan yang spesifik mengenai 6.3, 6.4, 6.5 permasalahan 6.11 Komunikasi mengenai kepedulian 6.3, 6.4, 6.5 terhadap kepedulian keamanan PO7 Mengelola sumberdaya manusia 7.1 Promosi dan perekrutan personil 7.1 7.2 Kualifikasi personil 7.2 7.3 Peran dan tanggung jawab 7.4 7.4 Pelatihan personil 7.5 7.5 Pelatihan lintas bagian atau 7.6 dukungan bagi pegawai 7.6 Prosedur izin bagi personil 7.7 7.7 Evaluasi kinerja pekerjaan pegawai 7.8
83
7.8 Penghentian dan perubahan 7.8 pekerjaan PO8 Memastikan kesesuaian dengan kebutuhan eksternal 8.1 Review terhadap kebutuhan ME3.1 eksternal 8.2 Kaidah dan prosedur untuk ME3.2 menyesuaikan terhadap kebutuhan eksternal 8.3 Kesesuaian aspek ergonomis dan ME3.1 keamanan 8.4 Privasi, hak intelektual dan alur data ME3.1 8.5 E-commerce ME3.1 8.6 Kesesuaian dengan kontrak ME3.1 penjaminan PO9 Menilai resiko 9.1 Penilaian resiko bisnis 9.1, 9.2, 9.4 9.2 Pendekatan penilaian resiko 9.4 9.3 Identifikasi resiko 9.3 9.4 Pengukuran resiko 9.1, 9.2, 9.3, 9.4 9.5 Perencanaan tidakan resiko 9.5 9.6 Penerimaan terhadap resiko 9.5 9.7 Pemilihan perlindungan 9.5 9.8 Komitmen penilaian resiko 9.1 PO10 Mengelola proyek 10.1 Framework manajemen proyek 10.2 10.2 Partisipasi departemen pengguna 10.4 dalam inisiasi proyek 10.3 Tanggung jawab dan keanggotaan 10.8 tim proyek 10.4 Definisi proyek 10.5 10.5 Penyetujuan proyek 10.6 10.6 Penyetujuan fase proyek 10.6 10.7 Master plan proyek 10.7 10.8 Rencana jaminan kualitas sistem 10.10 10.9 Perencanaan metode penjaminan 10.12 10.10 Manajemen resiko proyek secara 10.9 formal 10.11 Rencana pengujian AI7.2 10.12 Rencana pelatihan AI7.1 10.13 Rencana review pasca 10.14 (sebagian) implementasi PO11 Mengelola kualitas 11.1 Rencana kualitas umum 8.5 11.2 Pendekatan QA 8.1 11.3 Perencanaan QA 8.1 11.4 Review QA untuk kepatuhan 8.1, 8.2 terhadap prosedur dan estándar TI
84
11.5 Metodologi System Development 8.2, 8.3 Life Cycle (SDLC) 11.6 Metodologi SDLC untuk 8.2, 8.3 perubahan mendasar pada teknologi yang ada 11.7 Pembaharuan metodologi SDLC 8.2, 8.3 11.8 Komunikasi dan koordinasi 8.2 11.9 Framework perolehan dan 8.2 pemeliharaan untuk infrastruktur teknologi 11.10 Hubungan pelaksana pihak ketiga 8.2, DS2.3 11.11 Standar dokumentasi program AI4.2, AI4.3, AI4.4 11.12 Standar pengujian program AI7.2, AI7.4 11.13 Standar pengujian sistem AI7.2, AI7.4 11.14 Pengujian pararel / pilot testing AI7.2, AI7.4 11.15 Dokumentasi pengujian sistem AI7.2, AI7.4 11.16 Evaluasi QA terhadap kepatuhan 8.2 standar pengembangan 11.17 Review QA terhadap pencapaian 8.2 tujuan TI 11.18 Metrik kualitas 8.6 11.19 Laporan review QA 8.2 AI (Acquisition and Implementation) AI1 Mengidentifikasi solusi terotomasi 1.1 Definisi kebutuhan informasi 1.1 1.2 Formulasi alternatif tindakan 1.3, 5.1, PO1.4 1.3 Formulasi strategi perolehan 1.3, 5.1, PO1.4 1.4 Kebutuhan layanan pihak ketiga 5.1, 5.3 1.5 Studi kelayakan teknologi 1.3 1.6 Studi kelayakan ekonomi 1.3 1.7 Arsitektur informasi 1.3 1.8 Laporan analisis resiko 1.2 1.9 Kendali keamanan dengan 1.1, 1.2 pembiayaan yang efektif 1.10 Desain tahapan audit 1.1, 1.2 1.11 Ergonomis 1.1 1.12 Pemilihan perangkat lunak sistem 1.1, 1.3 1.13 Kendali pengadaan 5.1 1.14 Perolehan produk perangkat lunak 5.1 1.15 Perawatan perangkat lunak oleh 5.4 pihak ketiga 1.16 Pemrograman aplikasi kontrak 5.4 1.17 Penerimaan terhadap fasilitas 5.4 1.18 Penerimaan terhadap teknologi 3.1, 3.2, 3.3, 5.4 AI2 Memperoleh dan menjaga perangkat lunak aplikasi 2.1 Metode desain 2.1 2.2 Perubahan utama terhadap sistem 2.1, 2.2, 2.6
85
yang ada 2.3 Penyetujuan desain 2.1 2.4 Dokumentasi dan definisi kebutuhan 2.2 file 2.5 Spesifikasi program 2.2 2.6 Desain pengumpulan data sumber 2.2 2.7 Dokumentasi dan definisi kebutuhan 2.2 masukan 2.8 Definisi antarmuka 2.2 2.9 Antarmuka pengguna-mesin 2.2 2.10 Dokumentasi dan definisi 2.2 kebutuhan pemrosesan 2.11 Dokumentasi dan definisi 2.2 kebutuhan keluaran 2.12 Kemampuan kontrol 2.3, 2.4 2.13 Ketersediaan sebagai sebuah faktor 2.2 desain utama 2.14 Kebutuhan integritas TI dalam 2.3, DS11.5 software program aplikasi 2.15 Pengujian software aplikasi 2.8, 7.4 2.16 Materi pendukung dan referensi 4.3. 4.4 untuk pengguna 2.17 Penilaian ulang terhadap desain 2.2 sistem AI3 Memperoleh dan menjaga infrastruktur teknologi 3.1 Penilaian terhadap software dan 3.1, 3.2, 3.3 hardware yang baru 3.2 Perawatan preventif untuk hardware DS13.5 3.3 Keamanan perangkat lunak sistem 3.1, 3.2, 3.3 3.4 Instalasi perangkat lunak sistem 3.1, 3.2, 3.3 3.5 Perawatan perangkat lunak sistem 3.3 3.6 Kendali perubahan perangkat lunak 6.1, 7.3 sistem 3.7 Penggunaan dan pengawasan 3.2, 3.3, DS9.3 terhadap pemanfaatan sistem AI4 Mengembangkan dan menjaga prosedur 4.1 Tingkat layanan dan kebutuhan 4.1 operasional 4.2 Manual prosedur pengguna 4.2 4.3 Manual operasi 4.4 4.4 Materi pelatihan 4.3, 4.4 AI5 Instalasi dan akreditasi sistem 5.1 Pelatihan 7.1 5.2 Pengukuran kinerja software 7.6, DS3.1 aplikasi 5.3 Rencana implementasi 7.2, 7.3 5.4 Konversi sistem 7.5
86
5.5 Konversi data 7.5 5.6 Rencana dan strategi pengujian 7.2 5.7 Pengujian perubahan 7.4, 7.6 5.8 Kinerja dan kriteria pengujian 7.6 pararel/ pilot testing 5.9 Pengujian penerimaan akhir 7.7 5.10 Akreditasi dan pengujian kemanan 7.6 5.11 Pengujian operasional 7.6 5.12 Promosi untuk produksi 7.8 5.13 Evaluasi mengenai pemenuhan 7.9 kebutuhan pengguna 5.14 Review pasca-implementasi oleh 7.9 pihak manajemen AI6 Mengelola perubahan 6.1 Kendali dan inisiasi perubahan 6.1, 6.4 kendali 6.2 Penilaian dampak 6.2 6.3 Kendali perubahan 7.9 6.4 Perubahan darurat 6.3 6.5 Prosedur dan dokumentasi 6.5 6.6 Perawatan resmi DS5.3 6.7 Kebijakan penerbitan software 7.9 6.8 Distribusi software 7.9 DS (Delivery and Support) DS1 Mendefinisikan dan mengelola tingkat layanan 1.1 Framework SLA 1.1 1.2 Aspek-aspek dari SLA 1.3 1.3 Prosedur kinerja 1.1 1.4 Pelaporan dan pengawasan 1.5 1.5 Review terhadap SLA dan kontrak 1.6 1.6 Barang-barang pengeluaran 1.3 1.7 Program peningkatan layanan 1.6 DS2 Mengelola layanan pihak ketiga 2.1 Antarmuka supplier 2.1 2.2 Hubungan pemilik 2.2 2.3 Kontrak pihak ketiga AI5.2 2.4 Kualifikasi pihak ketiga AI5.3 2.5 Kontrak outsourcing AI5.2 2.6 Kesinambungan layanan 2.3 2.7 Hubungan keamanan 2.3 2.8 Pengawasan 2.4 DS3 Mengelola kinerja dan kapasitas 3.1 Kebutuhan ketersediaan dan kinerja 3.1 3.2 Rencana ketersediaan 3.4 3.3 Pelaporan dan pengawasan 3.5 3.4 Perangkat pemodelan 3.1 3.5 Pengelolaan kinerja proaktif 3.3
87
3.6 Prediksi kapasitas kerja 3.3 3.7 Pengelolaan kapasitas sumberdaya 3.2 3.8 Ketersediaan sumberdaya 3.4 3.9 Penjadwalan sumberdaya 3.4 DS4 Memastikan layanan yang berkesinambungan 4.1 Framework kelangsungan TI 4.1 4.2 Filosofi dan strategi rencana 4.1 kelangsungan TI 4.3 Kandungan rencana kelangsungan 4.2 TI 4.4 Memperkecil kebutuhan untuk 4.3 kelangsungan TI 4.5 Menjaga rencana kelangsungan TI 4.4 4.6 Menguji rencana kelangsungan TI 4.5 4.7 Pelatihan rencana kelangsungan TI 4.6 4.8 Distribusi rencana kelangsungan TI 4.7 4.9 Prosedur backup pemrosesan 4.8 alternatif departemen pengguna 4.10 Sumberdaya utama TI 4.3 4.11 Hardware dan situs backup 4.8 4.12 Penyimpanan backup di luar situs 4.9 4.13 Prosedur pengemasan 4.10 DS5 Memastikan keamanan sistem 5.1 Mengelola pengukuran keamanan 5.1 5.2 Identifikasi, autentifikasi dan akses 5.3 5.3 Keamanan akses online data 5.3 5.4 Manajemen akun pengguna 5.4 5.5 Review manajemen untuk akun 5.4 pengguna 5.6 Kendali pengguna atas akunnya 5.4, 5.5 5.7 Supervisi keamanan 5.5 5.8 Klasifikasi data PO2.3 5.9 Manajemen hak akses dan 5.3 identifikasi pusat 5.10 Laporan tindakan keamanan dan 5.5 penyalahgunaan 5.11 Penanganan insiden 5.6 5.12 Reakreditasi 5.1 5.13 Kepercayaan pihak rekanan 5.3, AC6 5.14 Otorisasi transaksi 5.3 5.15 Non-pengakuan 5.11 5.16 Jalur terpercaya 5.11 5.17 Perlindungan fungsi keamanan 5.7 5.18 Manajemen kunci kriptografis 5.8 5.19 Pencegahan, deteksi dan koreksi 5.9 atas software yang berbahaya 5.20 Arsitektur firewall dan koneksi 5.10
88
terhadap jaringan publik 5.21 Perlindungan atas nilai elektronis 13.4 DS6 Identifikasi dan alokasi biaya 6.1 Jenis pengeluaran 6.1 6.2 Prosedur pembiayaan 6.3 6.3 Prosedur penagihan dan 6.2, 6.4 pembayaran pengguna DS7 Mendidik dan melatih pengguna 7.1 Identifikasi kebutuhan pelatihan 7.1 7.2 Organisasi pelatihan 7.2 7.3 Pelatihan kepedulian dan prinsip PO7.4 keamanan DS8 Mendampingi dan memberikan saran pada pengguna 8.1 Help desk 8.1, 8.5 8.2 Registrasi antrian pelanggan 8.2, 8.3, 8.4 8.3 Eskalasi antrian pelanggan 8.3 8.4 Pengawasan proses perizinan 10.3 8.5 Analisis tren dan pelaporan 10.1 DS9 Mengelola konfigurasi 9.1 Perekaman konfigurasi 9.1 9.2 Basis konfigurasi 9.1 9.3 Pembukuan status 9.3 9.4 Kendali konfigurasi 9.3 9.5 Software ilegal 9.3 9.6 Penyimpanan software AI3.4 9.7 Prosedur manajemen konfigurasi 9.2 9.8 Akuntabilitas software 9.1, 9.2 DS10 Mengelola permasalahan dan insiden 10.1 Sistem manajemen permasalahan 10.1, 10.2, 10.3, 10.4 10.2 Eskalasi permasalahan 10.2 10.3 Tahapan audit dan pelacakan 8.2, 10.2 permasalahan 10.4 Otorisasi akses temporer dan 5.4, 12.3, AI6.3 darurat 10.5 Prioritas pemrosesan darurat 10.1, 8.3 DS11 Manajemen data 11.1 Prosedur persiapan data AC1 11.2 Prosedur otorisasi dokumen AC1 sumber 11.3 Pengumpulan data dokumen AC1 sumber 11.4 Penanganan kesalahan pada AC1 dokumen sumber 11.5 Penyimpanan dokumen sumber DS11.2 11.6 Prosedur otorisasi pemasukan data AC2 11.7 Pengecekan otorisasi, akurasi dan AC3 kelengkapan
89
11.8 Penanganan kesalahan pemasukan data 11.9 Integritas pemrosesan data 11.10 Validasi dan pengditan pemrosesan data 11.11 Penanganan kesalahan pemrosesan data 11.12 Penanganan dan penyimpanan keluaran 11.13 Distribusi keluaran 11.14 Rekonsiliasi dan penyeimbangan keluaran 11.15 Penanganan kesalahan dan review keluaran 11.16 Persyaratan keamanan untuk laporan keluaran 11.17 Perlidungan informasi yang sensitif selama proses transmisi dan perpindahan 11.18 Perlindungan informasi sensitif yang tidak terpakai 11.19 Manajemen penyimpanan 11.20 Persyaratan dan periode penyimpanan 11.21 Sistem manajemen perpusatakaan media 11.22 Tanggung jawab manajemen perpusatakaan media 11.23 Restorasi dan backup 11.24 Pekerjaan backup 11.25 Penyimpanan backup 11.26 Pengarsipan 11.27 Perlindungan pesan yang sensitif 11.28 Autentifikasi dan integritas 11.29 Integritas transaksi elektronik 11.30 Melanjutkan integritas data yang disimpan DS12 Mengelola fasilitas 12.1 Keamanan fisik 12.2 Profil situs TI yang rendah 12.3 Panduan bagi pengunjung 12.4 Kesehatan dan keamanan personil 12.5 Perlindungan atas faktor lingkungan 12.6 Sumber energi yang bebas gangguan
AC2, AC4 AC4 AC4 AC4 AC5, 11.2 AC5, AC6 AC5 AC5 11.6 AC6, 11.6
11.4, AC6 11.2 11.2 11.3 11.3 11.5 11.4 4.9, 11.3 11.2 11.6 AC6 5.11 11.2
12.1, 12.2 12.1, 12.2 12.3 12.1, 12.5, ME3.1 12.4, 12.9 12.5
90
DS13 Mengelola operasi 13.1 Manual instruksi dan prosedur operasi pemrosesan 13.2 Dokumentasi proses start-up dan operasi lainnya 13.3 Penjadwalan tugas 13.4 Peralihan dari jadwal tugas standar 13.5 Kontinuitas pemrosesan 13.6 Pencatatan operasi 13.7 Perangkat keluaran dan bentuk khusus penyelamatan 13.8 Operasi jarak jauh M (Monitoring) M1 Melakukan pengawasan proses 1.1 Mengumpulkan data pengawasan 1.2 Menilai kinerja 1.3 Menilai kepuasan pelanggan 1.4 Pelaporan manajemen M2 Menilai ketersediaan kontrol internal 2.1 Pengawasan kontrol internal 2.2 Operasi berkala untuk kontrol internal 2.3 Pelaporan level kontrol internal 2.4 Jaminan kontrol internal dan keamanan operasional M3 Memperoleh jaminan independen 3.1 Akreditasi/sertifikasi kontrol internal dan keamanan independen dari layanan TI 3.2 Akreditasi/sertifikasi kontrol internal dan keamanan independen dari penyedia layanan pihak ketiga 3.3 Evaluasi efektivitas layanan TI secara independen 3.4 Evaluasi efektivitas penyedia layanan pihak ketiga secara independen 3.5 Jaminan independen atas kepatuhan terhadap hukum, persyaratan regulasi dan komitmen kontrak 3.6 Jaminan independen atas kepatuhan terhadap hukum, persyaratan regulasi dan komitmen kontrak dari penyedia layanan pihak ketiga 3.7 Kompetensi dari fungsi jaminan independen 3.8 Keterlibatan audit secara proaktif
13.1 13.1 13.2 13.2 13.1 13.1 13.4 5.11
1.2 1.4 1.2 1.5 2.2 2.1 2.2, 2.3 2.4
2.5, 4.7
2.5, 4.7
2.5, 4.7 2.5, 4.7 2.5, 4.7
2.5, 2.6, 4.7
2.5, 4.7 2.5, 4.7
91
M4 Melaksanakan audit independen 4.1 Perjanjian audit 4.2 Independensi 4.3 Standar dan etika profesional 4.4 Kompetensi 4.5 Perencanaan 4.6 Kinerja dari pelaksanaan audit 4.7 Pelaporan 4.8 Aktivitas kelanjutan
2.5, 4.7 2.5, 4.7 2.5, 4.7 2.5, 4.7 2.5, 4.7 2.5, 4.7 2.5, 4.7 2.5, 4.7
92
Pemetaan COBIT 4.1 ke COBIT 3 COBIT 4.1 COBIT 3 PO (Planning and Organisation) PO1 Mendefinisikan sebuah rencana TI strategis 1.1 Manajemen nilai TI 5.3 1.2 Kesesuaian bisnis dan TI 1.3 Penilaian kinerja dan kapabilitas saat ini 1.7, 1.8 1.4 Perubahan rencana jangka panjang TI 1.4 1.5 Perencanaan jangka pendek untuk fungsi TI 1.5 1.6 Komunikasi mengenai rencana-rencana TI 1.4 1.7 Pengawasan dan evaluasi rencana-rencana TI 1.3 1.8 Penilaian terhadap sistem yang sedang berjalan 1.3 PO2 Mendefinisikan arsitektur informasi 2.1 Model arsitektur informasi perusahaan 2.1 2.2 Kamus data perusahaan dan aturan sintaks data 2.2 2.3 Skema klasifikasi data 2.3, 2.4, DS5.8 2.4 Manajemen integritas PO3 Menentukan arahan teknologi 3.1 Perencanaan arahan teknologi 3.1, 3.3, 3.4 3.2 Perencanaan infrastruktur teknologi 3.3 Pengawasan tren dan regulasi di masa depan 3.1, AI3.1 3.4 Standar teknologi 3.5 3.5 Jajaran arsitektur TI 3.5 PO4 Mendefinisikan proses-proses, organisasi dan hubungan TI 4.1 Framework proses TI 4.2 Komisi strategi TI 4.3 Steering commitee TI 4.1 4.4 Penempatan fungsi TI di organisasi 4.2 4.5 Struktur organisasi TI 4.3 4.6 Pembentukan peran dan tanggung jawab 4.4, 4.12 4.7 Tanggung jawab untuk jaminan kualitas TI 4.5 4.8 Tanggung jawab untuk resiko, keamanan dan 4.6 kepatuhan 4.9 Kepemilikan sistem dan data 4.7, 4.8 4.10 Supervisi 4.9 4.11 Pemisahan tugas 4.10 4.12 Penugasan staf TI 4.11 4.13 Personil utama TI 4.13 4.14 Prosedur dan kebijakan staf yang dikontrak 4.14 4.15 Relasi 4.15 PO5 Mengelola investasi TI 5.1 Framework manajemen finansial 5.2 Prioritas dalam anggaran TI 5.3 Penganggaran TI 5.1, 5.3 5.4 Manajemen biaya 5.2, 5.3 5.5 Manajemen manfaat 5.3
93
PO6 Mengkomunikasikan arahan dan tujuan manajemen 6.1 Lingkungan kendali dan kebijakan TI 6.1 6.2 Framework kendali dan resiko TI perusahaan 6.8 6.3 Manajemen kebijakan TI 6.2, 6.3, 6.5, 6.6, 6.7, 6.9, 6.10, 6.11 6.4 Perubahan prosedur, standar dan kebijakan 6.2, 6.3, 6.4, 6.5, 6.6, 6.7, 6.9, 6.10, 6.11 6.5 Komunikasi tujuan dan arahan TI 6.2, 6.3, 6.5, 6.6, 6.7, 6.9, 6.10, 6.11 PO7 Mengelola sumberdaya manusia TI 7.1 Promosi dan perekrutan personil 7.1 7.2 Kompetensi personil 7.2 7.3 Penugasan sesuai peran 7.4 Pelatihan personil 7.3, DS7.3 7.5 Ketergantungan pada individu 7.4 7.6 Prosedur izin bagi personil 7.5 7.7 Evaluasi kinerja pekerjaan pegawai 7.6 7.8 Penghentian dan perubahan pekerjaan 7.7, 7.8 PO8 Mengelola kualitas 8.1 Sistem manajemen kualitas 11.2, 11.3, 11.4 8.2 Kaidah kualitas dan standar TI 11.5, 11.6, 11.7, 11.8, 11.9, 11.10, 11.16, 11.17, 11.19 8.3 Standar perolehan dan pengembangan 11.5, 11.6, 11.7 8.4 Fokus pada pelanggan 8.5 Peningkatan secara kontinu 8.6 Pengukuran, pengawasan dan review kualitas 11.18 PO9 Menilai dan mengelola resiko 9.1 Framework manajemen resiko TI 9.1, 9.4, 9.8 9.2 Pembentukan konteks resiko 9.1, 9.4 9.3 Identifikasi kejadian 9.3, 9.4 9.4 Penilaian resiko 9.1, 9.2, 9.4 9.5 Respon terhadap resiko 9.5, 9.6, 9.7 9.6 Pengawasan dan penjagaan atas rencana tindakan resiko PO10 Mengelola proyek 10.1 Framework manajemen program 10.2 Framework manajemen proyek 10.1 10.3 Pendekatan manajemen proyek 10.4 Komitmen stakeholder 10.2 10.5 Pernyataan lingkup proyek 10.4 10.6 Inisiasi tahapan proyek 10.5, 10.6 10.7 Rencana proyek terintegrasi 10.7 10.8 Sumberdaya proyek 10.3 10.9 Manajemen resiko proyek 10.10 10.10 Rencana kualitas proyek 10.8 10.11 Kendali perubahan proyek 10.12 Perencanaan proyek untuk metode 10.9
94
penjaminan 10.13 Pengukuran, pelaporan dan pengawasan kinerja proyek 10.14 Penutupan proyek 10.13 (sebagian) AI (Acquisition and Implementation) AI1 Mengidentifikasi solusi terotomasi 1.1 Definisi dan maintenance untuk fungsi bisnis 1.1, 1.9, 1.10, 1.11, 1.12 dan kebutuhan teknis 1.2 Laporan analisis resiko 1.8, 1.9, 1.10 1.3 Studi kelayakan dan formulasi alternatif 1.3, 1.7, 1.12 rangkaian kegiatan 1.4 Kebutuhan dan keputusan serta penyetujuan kelayakan AI2 Memperoleh dan menjaga perangkat lunak aplikasi 2.1 Desain tingkat tinggi 2.1, 2.2 2.2 Desain rinci 2.2, 2.4, 2.5, 2.6, 2.7, 2.8, 2.9, 2.10, 2.11, 2.13, 2.17 2.3 Kemampuan audit dan kendali aplikasi 2.12, 2.14 2.4 Ketersediaan dan keamanan aplikasi 2.5 Konfigurasi dan implementasi software aplikasi yang diperoleh 2.6 Pembaharuan utama pada sistem yang ada 2.2 2.7 Pengembangan software aplikasi 2.8 Jaminan kualitas software 2.15 2.9 Manajemen kebutuhan aplikasi 2.10 Perawatan software aplikasi AI3 Memperoleh dan menjaga infrastruktur teknologi 3.1 Rencana perolehan infrastruktur teknologi PO3.4, 1.18, 3.1, 3.3, 3.4 3.2 Ketersediaan dan perlindungan sumberdaya 1.18, 3.1, 3.3, 3.4, 3.7 infrastruktur 3.3 Perawatan infrastruktur 1.18, 3.1, 3.3, 3.4, 3.5, 3.7 3.4 Lingkungan pengujian kelayakan AI4 Mendukung operasi dan penggunaan 4.1 Perencanaan untuk solusi operasional 4.1 4.2 Transfer pengetahuan untuk manajemen bisnis PO11.11, 4.2 4.3 Transfer pengetahuan untuk pengguna akhir PO11.11, 2.16, 4.4 4.4 Transfer pengetahuan untuk staf pendukung PO11.11, 2.16, 4.3, 4.4 dan operasi AI5 Menyediakan sumberdaya TI 5.1 Kendali pengadaan 1.2, 1.3, 1.4, 1.13, 1.14 5.2 Manajemen kontrak penyedia barang/jasa DS2.3, DS2.5 5.3 Pemilihan penyedia barang/jasa 1.4, DS2.4 5.4 Perolehan sumberdaya TI 1.15, 1.16, 1.17, 1.18 AI6 Mengelola perubahan 6.1 Prosedur dan standar perubahan 3.6, 6.1 6.2 Penilaian, otorisasi dan pemilihan prioritas 6.2 dampak
95
6.3 Perubahan darurat 6.4 Pelaporan dan pelacakan status perubahan 6.5 Dokumentasi dan penutupan perubahan AI7 Instalasi dan akreditasi solusi dan perubahan 7.1 Pelatihan 7.2 Rencana pengujian 7.3 Rencana implementasi 7.4 Lingkungan pengujian 7.5 Konversi data dan sistem 7.6 Pengujian perubahan 7.7 Pengujian penerimaan akhir 7.8 Promosi untuk produksi 7.9 Review pasca implementasi DS (Delivery and Support) DS1 Mendefinisikan dan mengelola tingkat layanan 1.1 Framework manajemen tingkat layanan 1.2 Definisi layanan 1.3 SLA 1.4 OLA 1.5 Pengawasan dan pelaporan pencapaian tingkat layanan 1.6 Review terhadap SLA dan kontrak DS2 Mengelola layanan pihak ketiga 2.1 Identifikasi seluruh hubungan penyedia barang/jasa 2.2 Manajemen hubungan penyedia barang/jasa 2.3 Manajemen resiko penyedia barang/jasa 2.4 Pengawasan kinerja penyedia barang/jasa DS3 Mengelola kinerja dan kapasitas 3.1 Perencanaan kapasitas dan kinerja 3.2 Kapasitas dan kinerja saat ini 3.3 Kapasitas dan kinerja di masa depan 3.4 Ketersediaan sumberdaya TI 3.5 Pengawasan dan pelaporan DS4 Memastikan layanan yang berkesinambungan 4.1 Framework kelangsungan TI 4.2 Rencana kelangsungan TI 4.3 Sumberdaya utama TI 4.4 Menjaga rencana kelangsungan TI 4.5 Menguji rencana kelangsungan TI 4.6 Pelatihan rencana kelangsungan TI 4.7 Distribusi rencana kelangsungan TI 4.8 Pemulihan dan kelanjutan layanan TI 4.9 Penyimpanan backup di luar situs 4.10 Review pasca kelanjutan
DS10.4, 6.4 6.1 6.5 PO10.11, PO10.12, 5.1 PO10.11, PO11.12, PO11.13, PO11.14, PO11.15, 5.3, 5.6 3.6, 5.3 PO11.12, PO11.13, PO11.14, PO11.15, 2.15, 5.7 5.4, 5.5 5.2, 5.7, 5.8, 5.10, 5.11 5.9 5.12 5.13, 5.14
1.1, 1.3 1.2, 1.6 1.4 1.5, 1.7 2.1 2.2 PO11.10, 2.6, 2.7 2.8 AI5.2, 3.1, 3.4 3.7 3.5, 3.6 3.2, 3.8, 3.9 3.3 4.1, 4.2 4.3 4.4, 4.10 4.5 4.6 4.7 4.8 4.9, 4.11 4.12, 11.25 4.13
96
DS5 Memastikan keamanan sistem 5.1 Manajemen keamanan TI 5.2 Rencana keamanan TI 5.3 Manajemen identitas 5.4 Manajemen akun pengguna 5.5 Pengawasan, supervisi, dan pengujian keamanan 5.6 Definisi insiden keamanan 5.7 Perlindungan teknologi keamanan 5.8 Manajemen kunci kriptografis 5.9 Pencegahan, deteksi dan koreksi atas software yang berbahaya 5.10 Keamanan jaringan 5.11 Pertukaran data yang sensitif DS6 Identifikasi dan alokasi biaya 6.1 Jenis pengeluaran 6.2 Pembukuan TI 6.3 Pemodelan dan pelunasan biaya 6.4 Maintenance model biaya DS7 Mendidik dan melatih pengguna 7.1 Identifikasi kebutuhan pelatihan dan pendidikan 7.2 Penyampaian pelatihan dan pendidikan 7.3 Evaluasi atas pelatihan yang diterima DS8 Mengelola insiden dan bagian pelayanan 8.1 Bagian pelayanan 8.2 Registrasi antrian pelanggan 8.3 Eskalasi insiden 8.4 Penutupan insiden 8.5 Analisis tren dan pelaporan DS9 Mengelola konfigurasi 9.1 Perekaman dan basis konfigurasi 9.2 Identifikasi dan perawatan item-item konfigurasi 9.3 Review integritas konfigurasi DS10 Mengelola permasalahan 10.1 Identifikasi dan klasifikasi permasalahan 10.2 Pelacakan dan resolusi permasalahan 10.3 Penyelesaian permasalahan 10.4 Integrasi konfigurasi, insiden dan manajemen permasalahan DS11 Manajemen data 11.1 Kebutuhan bisnis untuk manajemen data 11.2 Pengaturan penyimpanan 11.3 Sistem manajemen perpustakaan media 11.4 Pembuangan
5.1, 5.12 5.2, 5.3, 5.9, 5.14, AI6.6 5.4, 5.5, 5.6, 5.13, 10.4 5.6, 5.7, 5.10 5.11 5.17 5.18 5.19 5.20 5.15, 5.16, 11.29, 13.8 6.1 6.3 6.2 6.3 7.1 7.2 8.1, 8.5 8.2, 10.3 8.2, 8.3, 10.5 8.2 8.1 9.1, 9.2, 9.8 9.7, 9.8 9.3, 9.4, 9.5 8.5, 10.1, 10.5 8.4, 10.1 -, 10.1
11.12, 11.19, 11.20, 11.26, 11.30 11.21, 11.22, 11.25 11.18, 11.24
97
11.5 Restorasi dan backup AI2.14, 11.23 11.6 Kebutuhan keamanan untuk manajemen data 11.16, 11.17, 11.27 DS12 Mengelola lingkungan fisik 12.1 Layout dan pemilihan situs 12.1, 12.2, 12.4 12.2 Pengukuran keamanan fisik 12.1, 12.2 12.3 Akses fisik 10.4, 12.3 12.4 Perlindungan atas faktor lingkungan 12.1, 12.5, ME3.1 12.5 Manajemen fasilitas fisik 12.4, 12.6, 12.9 DS13 Mengelola operasi 13.1 Instruksi dan prosedur operasi pemrosesan 13.1, 13.2, 13.5, 13.6 13.2 Penjadwalan tugas 13.3, 13.4 13.3 Pengawasan infrastruktur TI 13.4 Perangkat keluaran dan dokumen sensitif 5.21, 13.7 13.5 Perawatan preventif untuk hardware AI3.2 ME (Monitoring and Evaluation) ME1 Mengawasi dan mengevaluasi kinerja TI 1.1 Pendekatan pengawasan 1.0* 1.2 Definisi dan pengumpulan data pengawasan 1.1, 1.3 1.3 Metode pengawasan 1.4 Penilaian kinerja 1.2 1.5 Pelaporan eksekutif dan direksi 1.4 1.6 Tindakan perbaikan ME2 Mengawasi dan mengevaluasi kontrol internal 2.1 Pengawasan framework kendali internal 2.0*, 2.2 2.2 Review supervisi 2.1, 2.3 2.3 Pengecualian kendali 2.4 Penilaian kendali secara mandiri 2.4 2.5 Jaminan kendali internal 2.6 Kendali internal pada pihak ketiga 3.6 2.7 Tindakan perbaikan ME3 Memastikan pemenuhan terhadap kebutuhan eksternal 3.1 Identifikasi terhadap kebutuhan eksternal, PO8.1, PO8.3, PO8.4, PO8.5, legal, regulasi dan kesesuaian kontrak PO8.6, DS12.4 3.2 Optimalisasi respon terhadap kebutuhan PO8.2 eksternal 3.3 Evaluasi kesesuaian dengan kebutuhan eksternal 3.4 Jaminan positif terhadap kesesuaian 3.5 Pelaporan terintegrasi ME4 Melaksanakan tata kelola TI 4.1 Pembentukan framework tata kelola TI 4.2 Keselarasan strategis 4.3 Pemenuhan nilai 4.4 Manajemen sumberdaya 4.5 Manajemen resiko 4.6 Pengukuran kinerja 4.7 Jaminan independen -
98
* ME1.0 dan ME2.0 terdapat pada dokumen Control Practices yang diterbitkan oleh ITGI (2004)
99
LAMPIRAN B – KUISIONER MANAGEMENT AWARENESS KUISIONER PENGELOLAAN TEKNOLOGI INFORMASI PT. SURVEYOR INDONESIA
Kuisioner ini adalah bagian dari penelitian tesis mahasiswa Magister Sistem Informasi Departemen Teknik Informatika Institut Teknologi Bandung, yang bertujuan untuk mendapatkan data-data mengenai pengelolaan IT yang saat ini diterapkan oleh PT. Surveyor Indonesia. Kuisioner ini dikembangkan dari standar pengelolaan IT COBIT (Control Objectives for Information and related Technology), yang difokuskan pada 2 domain utama, yaitu : Delivery & Support (DS), yang menitikberatkan pada proses pelayanan yang diberikan oleh sistem IT yang diterapkan. Monitoring (M), yang menitikberatkan pada proses pengawasan dan kontrol kualitas layanan yang diberikan oleh sistem IT yang diterapkan. Setiap domain terdiri dari beberapa poin yang telah dirangkum dan diubah menjadi sebuah pernyataan. Untuk itu mohon kiranya Bapak/Ibu dapat memberikan opini dan pendapatnya mengenai pernyataan-pernyataan yang akan diberikan dalam kuisioner ini. Pengisian kuisioner dilakukan dengan memberikan checklist (√) pada kolom yang dianggap sesuai dengan pendapat Bapak/Ibu (berdasarkan tingkat keperluan dan pihak yang sebaiknya menangani hal-hal dalam pernyataan). Kuisioner ini harap diisi dan dikembalikan selambat-lambatnya pada hari Selasa, 8 Januari 2008.
Nama Responden Jabatan Responden Divisi / Bagian
100
Delivery & Support DS1 Mendefinisikan dan mengelola tingkat layanan Tingkat layanan IT dan dukungan perusahaan terhadap ketersediaan layanan tersebut harus dikelola dan didefinisikan dengan jelas dalam hal uraian tanggung jawab, waktu respon, pengawasan dan pelaporannya. DS2 Mengelola layanan pihak ketiga Pengelolaan terhadap layanan IT yang dilakukan/disediakan oleh pihak eksternal (third party), misalnya untuk proses outsourcing, harus mencakup kesepakatan layanan, kontrak, pengawasan, dan aspek legalitasnya. DS3 Mengelola kinerja dan kapasitas Pengelolaan kinerja, kapasitas dan sumber daya IT untuk mempertahankan dan menjaga ketersediaan layanan IT. DS4 Memastikan layanan yang berkelanjutan Memastikan ketersediaan dan kesinambungan layanan-layanan IT dalam memenuhi kebutuhan bisnis perusahaan melalui kegiatan analisa resiko-resiko yang terkait dengan IT, keamanan sistem, dan ketersediaan sumber daya yang diperlukan. DS5 Memastikan keamanan sistem Memastikan keamanan sistem untuk mengamankan dan menjaga informasi perusahaan dari pihak-pihak yang tidak bertanggung jawab untuk melakukan halhal yang tidak diharapkan, seperti menghilangkan, merubah dan merusak informasi tersebut. DS6 Melakukan identifikasi dan alokasi biaya Identifikasi dan alokasi anggaran IT untuk menjaga ketersediaan sumber daya IT yang dibutuhkan dan memastikan bahwa sumber daya tersebut digunakan secara optimal.
Tidak Tahu
Pihak Luar
Divisi Lain
Divisi IT
Sebaiknya ditangani oleh
Sangat Perlu
Perlu
Bisa Diterapkan
Tingkat keperluan
Tidak Perlu
Objektif
Sangat Tidak Perlu
Kode
101
DS9
DS10
DS11
DS12
DS13
Tidak Tahu
Pihak Luar
Divisi Lain
Divisi IT
Mendampingi dan memberikan saran kepada pengguna Pengadaan fasilitas yang dapat membantu dan memberikan saran atau solusi bagi pengguna dalam menghadapi masalah dalam penggunaan IT. Mengelola konfigurasi Pengelolaan konfigurasi IT, pendataan, penghitungan dan verifikasi keberadaan fisik komponen IT yang dimiliki organisasi untuk mengantisipasi terjadinya hal-hal yang tidak diharapkan. Mengelola permasalahan dan insiden Pengelolaan permasalahan-permasalahan dan insiden yang terkait dengan penerapan dan pengoperasian IT di perusahaan untuk memastikan permasalahan-permasalahan tersebut telah ditangani dan ditindaklanjuti dengan baik. Mengelola data Pengelolaan data (proses input, pemrosesan dan output) untuk menjamin integritas, keakuratan dan validitas data. Mengelola fasilitas Pengelolaan dan penyediaan fasilitas yang baik, perlindungan atas seluruh peralatan dan SDM IT dari ancaman kerusakan/bencana. Mengelola operasi Pengelolaan operasional, memastikan fungsi-fungsi dukungan IT seperti preventive maintenance dan network service management dilakukan secara teratur.
Sebaiknya ditangani oleh
Sangat Perlu
DS8
Perlu
Mendidik dan melatih pengguna Pelatihan dan pendidikan bagi para pengguna (user) agar mereka dapat menggunakan IT secara efektif dan mengetahui resiko serta tanggung jawabnya dalam menggunakan teknologi IT tersebut.
Bisa Diterapkan
DS7
Tingkat keperluan
Tidak Perlu
Objektif
Sangat Tidak Perlu
Kode
102
Monitoring M1 Melakukan pengawasan proses Pengawasan terhadap proses-proses IT untuk memastikan pencapaian kinerja yang diharapkan dari setiap proses IT yang telah dilakukan. M2 Menilai ketersediaan kontrol internal Melakukan penilaian atas kelayakan proses pengendalian (kontrol) yang dilakukan oleh perusahaan untuk memastikan pencapaian tujuan dan kontrol untuk setiap proses IT.
M3
M4
Memperoleh jaminan independen Adanya jaminan dari pihak manajemen perusahaan agar dengan dilakukannya pengelolaan IT perusahaan akan dapat meningkatkan kepercayaan antara organisasi, konsumen, dan penyedia layanan pihak ketiga (outsource). Melakukan audit independen Menyelenggarakan audit IT yang dilakukan oleh pihak independen untuk meningkatkan kepercayaan dan memastikan kesesuaian penerapan dan pengelolaan IT dalam mendukung pencapaian tujuan perusahaan.
- TERIMA KASIH -
Tidak Tahu
Pihak Luar
Divisi Lain
Divisi IT
Sebaiknya ditangani oleh
Sangat Perlu
Perlu
Bisa Diterapkan
Tingkat keperluan
Tidak Perlu
Objektif
Sangat Tidak Perlu
Kode
103
LAMPIRAN C – PENGUKURAN TINGKAT KEMATANGAN WAWANCARA PENGUKURAN TINGKAT KEMATANGAN PENGELOLAAN TEKNOLOGI INFORMASI PT. SURVEYOR INDONESIA
Wawancara pengukuran tingkat kematangan ini adalah bagian dari penelitian tesis mahasiswa Magister Sistem Informasi Departemen Teknik Informatika Institut Teknologi Bandung, yang bertujuan untuk mendapatkan data-data mengenai pengelolaan Teknologi Informasi (TI) di PT. Surveyor Indonesia. Wawancara ini dikembangkan dari standar pengelolaan TI COBIT (Control Objectives for Information and related Technology), yang difokuskan pada 2 domain utama, yaitu : 1. Delivery & Support (DS), yang menitikberatkan pada proses pelayanan yang diberikan oleh TI yang diterapkan. 2. Monitoring (M), yang menitikberatkan pada proses pengawasan dan kontrol kualitas layanan yang diberikan oleh TI yang diterapkan. Wawancara pengukuran tingkat kematangan ini bertujuan untuk mengetahui tingkat kematangan pada proses saat ini dan tingkat kematangan proses yang diharapkan. Hasil pengukuran tingkat kematangan akan menjadi acuan identifikasi prioritas peningkatan proses. Pengukuran tingkat kematangan ini dilakukan dengan mempertimbangkan kematangan 6 (enam) atribut kematangan COBIT yang meliputi: 1. Kepedulian dan komunikasi 2. Kebijakan, standar dan prosedur 3. Perangkat dan otomasi 4. Keahlian dan kepakaran 5. Tanggung jawab dan akuntabilitas 6. Penentuan dan pengukuran pencapaian Pertanyaan-pertanyaan dalam wawancara ini dikelompokkan menurut atribut kematangan dan proses yang diamati, dan pada tiap kelompok pertanyaan akan melibatkan 2 (dua) pertanyaan yang masing-masing mewakili kondisi saat ini dan kondisi yang diharapkan. Masing-masing pertanyaan mempunyai 6 (enam) pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu pada proses yang diamati. Pilihan-pilihan jawaban tersebut dari a sampai f secara berurut-turut merepresentasikan tingkat kematangan yang semakin meningkat terhadap suatu atribut pada proses-proses di domain DS dan M. Dengan mengetahui posisi kematangan saat ini dan yang diharapkan, selanjutnya akan dilakukan analisis yang diharapkan dapat menjadi dasar dalam pendefinisian rancangan solusi untuk perbaikan dalam proses-proses di domain DS dan M. Untuk itu mohon kiranya Bapak/Ibu berkenan memberikan jawaban mengenai pertanyaan-pertanyaan yang akan diajukan dalam wawancara ini.
Nama Responden Jabatan Responden Divisi / Bagian
104
Mendefinisikan dan Mengelola Tingkat Layanan (DS1) I
No. 1
2
Kepedulian dan komunikasi a. Pihak manajemen belum menyadari pentingnya proses untuk mendefinisikan tingkat layanan. b. Telah ada kepedulian untuk mengelola tingkat layanan, namun prosesnya masih bersifat informal dan reaktif. c. Adanya kesadaran akan kebutuhan mendefinisikan dan mengelola tingkat layanan untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan mendefinisikan dan mengelola tingkat layanan. d. Adanya pemahaman akan kebutuhan mendefinisikan dan mengelola tingkat layanan. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses mendefinisikan dan mengelola tingkat layanan. e. Kebutuhan bagi mendefinisikan dan mengelola tingkat layanan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam mendefinisikan dan mengelola tingkat layanan. f. Kebutuhan mendefinisikan dan mengelola tingkat layanan dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan di waktu yang akan datang senantiasa dipelajari secara proaktif. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mendefinisikan dan mengelola tingkat layanan saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mendefinisikan dan mengelola tingkat layanan?
105
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur dalam mendefinisikan dan mengelola tingkat layanan. b. Menggunakan pendekatan ad hoc untuk mendefinisikan dan mengelola tingkat layanan, namun belum menggunakan prosedur dengan pendekatan formal. c. Terdapat SLA yang telah disepakati, namun bersifat informal dan hanya dipakai sekali saja. d. Kriteria tingkat layanan telah didefinisikan dan disetujui dengan user, melalui peningkatan taraf standarisasi. Proses pengembangan SLA sejalan dengan tujuan untuk menilai tingkat layanan dan kepuasan pelanggan. e. Tingkat layanan lebih didefinisikan dalam tahap pendefinisian kebutuhan sistem dan digabungkan dalam desain aplikasi dan lingkungan operasional. Analisis akar permasalahan dilakukan apabila tingkat layanan tidak terpenuhi. f. Kriteria untuk mendefinisikan tingkat layanan didasarkan pada kebutuhan utama bisnis dan mencakup ketersediaan, kehandalan, kinerja, kapasitas pertumbuhan, dukungan pengguna, perencanaan kelangsungam dan pertimbangan keamanan. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mendefinisikan dan mengelola tingkat layanan saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mendefinisikan dan mengelola tingkat layanan?
106
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat dan otomasi dalam mendefinisikan dan mengelola tingkat layanan. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat pengelolaan tingkat layanan. c. Telah digunakannya perangkat untuk mendefinisikan dan mengelola tingkat layanan sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam mendefinisikan dan mengelola tingkat layanan. Telah digunakan beberapa perangkat namun masih belum terintegrasi. e. Sistem pelaporan untuk mengawasi tingkat layanan menjadi lebih terotomasi. f. Tingkat layanan dievaluasi kembali secara kontinu untuk memastikan kesesuaian antara TI dan tujuan bisnis, dengan tetap memanfaatkan keunggukan teknologi dan peningkatan dalam rasio harga/kinerja produk. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mendefinisikan dan mengelola tingkat layanan saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mendefinisikan dan mengelola tingkat layanan?
107
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk memperoleh pengetahuan dan keahlian dalam mendefinisikan dan mengelola tingkat layanan b. Belum ada perencanaan untuk melakukan pelatihan dalam mengelola tingkat layanan. c. Pelaporan tingkat layanan tidak lengkap, tidak relevan atau tidak memiliki arahan dan bergantung pada keahlian dan inisiatif dari masing-masing manajer. d. Hubungan antara dana yang tersedia dan tingkat layanan yang diharapkan ditingkatkan secara formal. e. Kebutuhan skill secara rutin diupdate untuk seluruh proses mendefinisikan dan mengelola tingkat layanan untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait mendefinisikan dan mengelola tingkat layanan telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. f. Seluruh proses tingkat layanan mengarah pada proses peningkatan yang berkelanjutan. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mendefinisikan dan mengelola tingkat layanan yang juga merupakan peluang pengembangan kedepan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mendefinisikan dan mengelola tingkat layanan saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mendefinisikan dan mengelola tingkat layanan?
108
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan kebijakan yang ditetapkan dalam melakukan pengawasan terhadap proses. b. Tanggung jawab dan akuntabilitas untuk mengawasi kinerja didefinisikan secara informal. c. Seorang koordinator tingkat layanan dipilih dengan tanggung jawab yang jelas, namun tidak memiliki otoritas yang cukup. d. Tanggung jawab telah didefinisikan dengan baik, namun dengan otoritas yang tidak mengikat. e. Resiko finansial dan operasional yang terkait dengan tidak terpenuhinya tingkat layanan yang disepakati telah didefinisikan dan dipahami secara jelas. f. Manajemen TI memiliki sumberdaya dan akuntabilitas yang dibutuhkan untuk memenuhi sasaran kinerja tingkat layanan, kompensasi eksekutif distrukturkan untuk memberikan insentif bagi pemenuhan pencapaian organisasi. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mendefinisikan dan mengelola tingkat layanan saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mendefinisikan dan mengelola tingkat layanan?
109
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Tidak ada pencapaian dalam mendefinisikan dan mengelola tingkat layanan. b. Pengukuran kinerja bersifat kualitatif, pencapaian didefinisikan secara tidak tepat. Pelaporan kinerja jarang dilakukan dan tidak konsisten. c. Proses kesesuaian dengan SLA bersifat sukarela dan tidak mengikat. d. Tingkat layanan lebih didasarkan pada perbandingan industri dan terkadang tidak mengacu pada kebutuhan spesifik organisasi. Penurunan tingkat layanan dapat diidentifikasi, namun perencanaan resolusi masih bersifat informal. e. Kepuasan pelanggan diukur dan dinilai secara rutin. Pengukuran kinerja lebih mencerminkan kebutuhan pengguna akhir daripada pencapaian TI saja. Kriteria pengukuran tingkat layanan pengguna telah distandarisasi dan merefleksikan norma-norma industri. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. f. Tingkat layanan yang diharapkan dievaluasi terhadap norma-norma industri, tetapi juga mencerminkan pencapaian strategis yang spesifik pada unit-unit bisnis. Manajemen senior mengawasi ukuran kinerja sebagai bagian dari proses perkembangan yang berkelanjutan. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mendefinisikan dan mengelola tingkat layanan saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mendefinisikan dan mengelola tingkat layanan?
110
Proses Mengelola Layanan Pihak Ketiga (DS2) I
No. 1
2
Kepedulian dan komunikasi a. Layanan pihak ketiga tidak disetujui atau direview oleh pihak manajemen. b. Manajemen perduli terhadap kebutuhan untuk mendokumentasikan kebijakan dan prosedur untuk pengadaan layanan pihak ketiga, termasuk penandatanganan kontrak. c. Adanya kesadaran akan kebutuhan pengelolaan layanan pihak ketiga untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan pengelolaan layanan pihak ketiga. d. Adanya pemahaman akan kebutuhan pengelolaan layanan pihak ketiga. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses pengelolaan layanan pihak ketiga. e. Kebutuhan didefinisikan dan dihubungkan dengan tujuan bisnis. Seluruh pihak yang terlibat memiliki kepedulian terhadap ekspektasi layanan, biaya dan sasaran. f. Kebutuhan pengelolaan layanan pihak ketiga dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam pengelolaan layanan pihak ketiga yang juga merupakan peluang pengembangan kedepan. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola layanan pihak ketiga saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola layanan pihak ketiga?
111
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada kebijakan dan prosedur formal mengenai pelaksanaa kontrak dengan pihak ketiga. b. Tidak ada standar untuk kesepakatan. Menggunakan pendekatan ad hoc untuk mengelola layanan pihak ketiga, namun belum menggunakan prosedur dengan pendekatan formal. c. Proses untuk mengelola layanan pihak ketiga dan pemberian layanan bersifat informal. Berkas kontrak yang ditandatangani digunakan bersama dengan kesepakatan vendor standar dan deskripsi layanan yang akan diberikan d. Persetujuan kontrak didasarkan pada standar yang berlaku. Prosedur yang telah terdokumentasi dengan baik digunakan untuk mengelola pengadaan pihak ketiga, disertai dengan proses yang jelas untuk memastikan pemilihan dan negosiasi yang baik dengan vendor. Hubungan dengan pihak ketiga hanya bersifat kontraktual. Penjelasan mengenai layanan yang diberikan dirinci dalam kontrak dan mencakup kebutuhan operasional, legal dan kendali. e. Kriteria formal dan terstandarisasi dibuat untuk mendefinisikan lingkup kerja, layanan yang akan diberikan, asumsi, penyampaian, skala waktu, harga, pengaturan pembiayaan, tanggung jawab, dan kesepakatan bisnis. f. Proses ditujukan untuk mereview kinerja layanan terhadap kesepakatan kontrak, menyediakan masukan bagi pemberian layanan pihak ketiga saat ini dan yang akan datang. Kontrak yang ditandatangani bersama direview secara periodik setelah pekerjaan dimulai. Bukti kepatuhan terhadap kebutuhan kontrak operasional, legal dan kendali dimonitor dan tindakan korektif telah dilaksanakan. Pelaporan yang didefinisikan dan komprehensif terkait dengan proses kompensasi pihak ketiga. Pelaporan memberikan peringatan awal atas permasalahan potensial untuk memfasilitasi resolusi secara berkala. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mengelola layanan pihak ketiga saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola layanan pihak ketiga?
112
III
No. 1
2
Perangkat dan otomasi a. Keberadaan obligasi kontrak untuk pelaporan tidak membuat pihak manajemen senior peduli terhadap kualitas layanan yang diberikan. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software perangkat pengelolaan layanan pihak ketiga. c. Laporan telah tersedia namun tidak mendukung tujuan bisnis. Telah digunakannya perangkat untuk membantu proses pengelolaan layanan pihak ketiga sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam pengelolaan layanan pihak ketiga. Telah digunakan beberapa perangkat namun masih belum terintegrasi. e. Beberapa perangkat seperti model pembiayaan transfer telah digunakan dalam proses pengadaan layanan pihak ketiga. f. Perangkat yang canggih digunakan dengan otomasi pengelolaan layanan pihak ketiga secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mengelola layanan pihak ketiga saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola layanan pihak ketiga?
113
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada upaya pelatihan atau peningkatan kepakaran dalam mengelola layanan pihak ketiga. b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola layanan pihak ketiga dan belum ada pelatihan formal dilakukan. c. Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola layanan pihak ketiga. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu. d. Kebutuhan keahlian dalam mengelola layanan pihak ketiga telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan pada inisiatif perorangan. e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan layanan pihak ketiga untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan layanan pihak ketiga telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. f. Pihak ketiga bergantung pada review periodik secara independen, dengan masukan yang berasal dari review. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan skill secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk pengelolaan layanan pihak ketiga telah dilembagakan. Knowledge sharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola layanan pihak ketiga saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola layanan pihak ketiga?
114
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tanggung jawab dan akuntabilitas tidak didefinisikan. b. Pelaksanaan bergantung pada pengalaman individu dan efektivitas komersial pihak supplier. c. Kepemilikan dan tanggungjawab atas pengelolaan layanan pihak ketiga secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengelolaan layanan pihak ketiga, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan d. Tanggung jawab pengelolaan untuk layanan pihak ketiga telah disepakati. e. Tanggung jawab untuk manajemen kontrak dan vendor telah ditetapkan. Kualifikasi dan kapabilitas vendor telah diverifikasi. f. Tanggung jawab untuk jaminan kualitas pemberian layanan dan dukungan vendor telah disepakati. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mengelola layanan pihak ketiga saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola layanan pihak ketiga?
115
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Tidak ada kegiatan pengukuran ataupun pelaporan dari pihak ketiga. b. Pengukuran layanan yang tersedia bersifat informal dan reaktif. c. Pengukuran telah dilakukan namun tidak secara relevan. d. Resiko bisnis yang terkait dengan kontrak dinilai dan dilaporkan. e. Indikator pencapaian tujuan dan kinerja telah disepakati pengguna dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan layanan pihak ketiga. Perbaikan secara berkelanjutan pada proses pengelolaan layanan pihak ketiga dilakukan. f. Pengukuran yang terpilih bervariasi secara dinamis sebagai respon terhadap kondisi bisnis yang berubah-ubah. Pengukuran mendukung deteksi awal permasalahan. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mengelola layanan pihak ketiga saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola layanan pihak ketiga?
116
Mengelola Kinerja dan Kapasitas (DS3) I
No. 1
2
Kepedulian dan komunikasi a. Manajemen belum menyadari bahwa proses bisnis utama dapat memerlukan kinerja optimal dari TI. b. Manajemen TI memiliki kepedulian terhadap pengelolaan kinerja dan kapasitas, namun tindakan yang diambil biasanya bersifat reaktif atau tidak lengkap. c. Manajemen bisnis perduli terhadap dampak dari kinerja dan kapasitas yang tidak terkelola. d. Adanya pemahaman akan kebutuhan mengelola kinerja dan kapasitas. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses mengelola kinerja dan kapasitas. e. Kebutuhan bagi pengelolaan kinerja dan kapasitas secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan kinerja dan kapasitas. f. Perencanaan kinerja dan kapasitas telah tersinkronisasi dengan prediksi bisnis dan perencanaan serta tujuan operasional. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola kinerja dan kapasitas saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola kinerja dan kapasitas?
117
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada proses perencanan kapasitas yang sesuai. b. Proses perencanaan bersifat informal. Manajemen kinerja dan kapasitas bersifat reaktif dan tidak teratur. c. Untuk bagian-bagian yang penting, kebutuhan kinerja umumnya telah terpenuhi berdasarkan penilaian sistem individual dan pengetahuan mengenai dukungan dan tim proyek. d. Kebutuhan kapasitas dan kinerja didefinisikan sebagai langkahlangkah yang akan diambil pada seluruh metodologi tahapan perolehan dan pengoperasian awal sistem. e. Insiden yang disebabkan oleh kegagalan kinerja dan kapasitas terkait dengan prosedur yang terstandarisasi dan terdefinisi. f. Infrastruktur TI ditujukan terhadap review rutin untuk memastikan bahwa kapasitas optimal dapat dicapai dengan biaya yang serendah mungkin. Peningkatan dalam teknologi terus dimonitor untuk memperoleh manfaat dari peningkatan kinerja produk. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mengelola kinerja dan kapasitas saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola kinerja dan kapasitas?
118
III
No. 1
2
Perangkat dan otomasi a. Tidak adanya perangkat untuk mengelola kinerja dan kapasitas. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software pengelolaan kinerja dan kapasitas. c. Beberapa perangkat individual dapat digunakan untuk mendiagnosa permasalahan kinerja dan kapasitas. d. Pemodelan dan prediksi kebutuhan kinerja yang akan datang dimungkinkan untuk dilakukan. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam sistem pengelolaan kinerja dan kapasitas. Telah digunakan beberapa perangkat namun masih belum terintegrasi. e. Proses dan perangkat tersedia untuk mengukur penggunaan sistem dan membandingkannya dengan tingkat layanan yang didefinisikan. Perangkat terotomasi digunakan untuk mengawasi sumberdaya spesifik seperti disk penyimpanan, server jaringan dan network gateways. f. Perangkat untuk mengawasi sumberdaya TI utama telah distandarisasi, jika dimungkinkan diterapkan pada platform yang berbeda dan terhubung pada sebuah sistem pengelolaan insiden organisasi. Perangkat pengawasan dapat lebih mendeteksi dan secara otomatis memperbaiki permasalahan kinerja, seperti mengalokasikan ruang penyimpanan atau melakukan routing ulang pada traffic jaringan. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mengelola kinerja dan kapasitas saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola kinerja dan kapasitas?
119
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk memperoleh pengetahuan dan keahlian dalam mengelola kinerja dan kapasitas. b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola kinerja dan kapasitas dan belum ada pelatihan formal dilakukan. c. Konsistensi hasil bergantung pada keahlian dari personil utama. d. Kebutuhan keahlian dalam mengelola kinerja dan kapasitas telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan. e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan kinerja dan kapasitas telah dilakukan sesuai dengan rencana dan sharing pengetahuan dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk pengelolaan kinerja dan kapasitas telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola kinerja dan kapasitas saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola kinerja dan kapasitas?
120
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada akuntabilitas dan tanggungjawab dalam mengelola kinerja dan kapasitas. b. Pengguna seringkali harus berupaya untuk mengatasi batasan kinerja dan kapasitas. c. Permasalahan ketersediaan umumnya terjadi dengan tidak diharapkan dan secara acak serta membutuhkan waktu lama untuk mendiagnosa dan memperbaikinya. d. Pengguna akhir akan merasa skeptis mengenai kapabilitas layanan diluar tingkat layanan yang dipublikasikan. Permasalahan masih sering terjadi dan membutuhkan banyak waktu untuk memperbaikinya. e. Tanggungjawab dan kepemilikan pada pengelolaan kinerja dan kapasitas didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini. f. Pengguna mengharapkan ketersediaan penuh selama 24x7x365 jam. Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mengelola kinerja dan kapasitas saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola kinerja dan kapasitas?
121
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Seluruh kebutuhan bisnis untuk layanan TI dapat melebihi kapasitas. b. Pemilik proses bisnis memberikan sangat sedikit penghargaan atas layanan TI. c. Tidak ada penilaian secara menyeluruh terhadap kemampuan kinerja infrastruktur atau pertimbangan terhadap situasi-situasi terburuk. d. Laporan dapat menunjukkan satistik kinerja. Terdapat metrik dan kebutuhan tingkat layanan terdefinisi yang dapat digunakan untuk mengukur kinerja operasional. e. Terdapat beberapa upaya untuk melaporkan statistik kinerja dalam proses bisnis, sehingga pengguna akhir dapat memahami tingkat layanan TI. Informasi yang up to date selalu tersedia, memberikan statistik kinerja yang terstandarisasi dan memberitahukan terjadinya insiden seperti kekurangan dalam kapasitas atau hasil. Pengguna umumnya merasa terpuaskan dengan kapabilitas layanan saat ini dan menginginkan tingkat ketersediaan yang baru dan meningkat. f. Metrik untuk mengukur kinerja TI telah disesuaikan untuk memfokuskan pada area utama dan diterjemahkan ke dalam KGI, KPI dan CSF untuk seluruh proses bisnis utama. Kecenderungan yang terdeteksi menunjukkan terdapatnya permasalahan kinerja yang disebabkan oleh peningkatan volume bisnis, yang memungkinkan dilakukannya perencanaan dan penanggulangan insiden yang tidak diharapkan. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mengelola kinerja dan kapasitas saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola kinerja dan kapasitas?
122
Memastikan Layanan yang Berkelanjutan (DS4) I
No. 1
2
Kepedulian dan komunikasi a. Tidak ada pemahaman mengenai resiko, kerentanan dan ancaman terhadap operasi-operasi TI atau dampak tidak adanya layanan TI pada bisnis. Kesinambungan layanan tidak dianggap memerlukan perhatian manajemen. b. Manajemen perduli terhadap resiko yang terkait dan kebutuhan akan layanan yang berkesinambungan. c. Adanya kesadaran akan kebutuhan layanan yang berkesinambungan untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan proses memastikan layanan yang berkesinambungan. d. Manajemen mengkomunikasikan kebutuhan akan layanan yang berkelanjutan secara konsisten. e. Kebutuhan untuk memastikan layanan yang berkesinambungan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul. f. Manajemen tidak mentolerir segala jenis kesalahan dan memberikan dukungan untuk mengantisipasinya. Pelaksanaan eskalasi telah dipahami dan diterapkan dengan baik. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan memastikan layanan yang berkelanjutan saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan memastikan layanan yang berkelanjutan?
123
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur untuk memastikan layanan yang berkelanjutan. b. Fokus lebih diarahkan kepada fungsi TI daripada fungsi bisnis. Prediksi gangguan telah dijadwalkan untuk memenuhi kebutuhan TI, bukan hanya sebatas mengakomodasi kebutuhan bisnis. Respon terhadap gangguan bersifat reaktif dan tanpa persiapan. c. Pendekatan terhadap layanan yang berkesinambungan masih terpisahpisah. Standarisasi pelaksanaan dan pengawasan layanan yang berkesinambungan mulai dilakukan, namun keberhasilannya masih bergantung pada individu. d. Rencana telah terdokumentasi dan didasarkan pada kepentingan sistem dan dampak bisnis. Terdapat pelaporan periodik mengenai pengujian layanan yang berkelanjutan. e. Pelaksanaan redundansi dan pengaruh perencanaan layanan secara kontinu saling mempengaruhi satu sama lain f. Efektivitas biaya layanan berkesinambungan dioptimalkan melalui inovasi dan integrasi. Perencanaan layanan berkesinambungan dan rencana kelangsungan bisnis telah terintegrasi, disesuaikan, dan dijaga secara rutin. Pembelian untuk kebutuhan layanan berkelanjutan dirahasiakan dari vendor dan supplier utama. Pelaksanaan redundansi dan perencanaan layanan berkesinambungan telah disesuaikan sepenuhnya. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam memastikan layanan yang berkelanjutan saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam memastikan layanan yang berkelanjutan?
124
III
No. 1
2
Perangkat dan otomasi a. Tidak adanya perangkat untuk memastikan layanan yang berkelanjutan. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat dalam bentuk software. c. Telah terdapat inventaris sistem dan komponen utama yang handal. d. Sebagian komponen yang memiliki ketersediaan tinggi dan redundansi sistem telah diterapkan. Inventaris sistem dan komponen utama dijaga secara ketat. e. Pelaksanaan redundansi sistem, termasuk penggunaan komponen yang banyak tesedia telah dilakukan secara konsisten. Data yang terstruktur mengenai layanan yang berkesinambungan telah didapatkan, dianalisa, dilaporkan, dan diterapkan. f. Pengumpulan dan analisa data digunakan untuk mengidentifikasi peluang peningkatan. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan memastikan layanan yang berkelanjutan saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses memastikan layanan yang berkelanjutan?
125
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk memastikan layanan yang berkelanjutan. b. Pengguna menerapkan pola pelaksanaan pekerjaan. Belum ada dalam perencanaan adanya pelatihan dan belum ada pelatihan formal yang dilakukan. c. Tidak ada pengguna atau rencana kelanjutan yang terdokumentasi, meskipun terdapat komitmen atas ketersediaan layanan secara berkesinambungan dan prinsip-prinsip utamanya telah diketahui. d. Individu mengambil inisiatif untuk mengikuti standar berikutnya dan menerima pelatihan. e. Pelatihan disediakan untuk proses layanan yang berkelanjutan. f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam memastikan layanan yang berkelanjutan saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses memastikan layanan yang berkelanjutan?
126
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggungjawab dan akuntabilitas dalam memastikan layanan yang berkelanjutan. b. Tanggung jawab untuk kesinambungan layanan bersifat informal, dengan otoritas yang terbatas. c. Tanggung jawab untuk layanan yang berkesinambungan telah ditetapkan. d. Akuntabilitas tidak jelas dan tanggung jawab untuk perencanaan dan pengujian yang berkesinambungan telah didefinisikan dan ditetapkan dengan jelas. e. Tanggung jawab dan standar untuk layanan yang berkelanjutan telah diterapkan. Tanggung jawab untuk menjaga kesinambungan layanan telah ditetapkan. f. Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam memastikan layanan yang berkelanjutan saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam memastikan layanan yang berkelanjutan?
127
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian untuk memastikan layanan yang berkelanjutan. b. Belum ada penentuan dan pengukuran pencapaian yang jelas untuk memastikan layanan yang berkelanjutan. c. Pelaporan mengenai ketersediaan sistem tidak lengkap dan tidak mempertimbangkan dampak bisnis. d. Beberapa tujuan dan pengukuran dalam memastikan layanan yang berkesinambungan telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. e. Aktivitas perawatan mempertimbangkan perubahan lingkungan bisnis, hasil dari pengujian layanan yang berkesinambungan, serta hasil dari pengujian layanan yang berkelanjutan dan pelaksanaan internal terbaik. Insiden ketidaksinambungan telah diklasifikasikan dan arah peningkatan untuk setiap insiden telah diketahui oleh seluruh pihak yang terlibat. f. Terdapat pengujian keseluruhan dan hasil pengujian dimasukkan sebagai bagian dari proses maintenance. Proses-proses layanan yang berkesinambungan dan terintegrasi bersifat proaktif, adaptif, terotomasi dan dapat menganalisa dirinya sendiri serta mempertimbangkan benchmarking dan pelaksanaan eksternal terbaik. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam memastikan layanan yang berkelanjutan saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam memastikan layanan yang berkelanjutan?
128
Memastikan Keamanan Sistem (DS5) I
No. 1
2
Kepedulian dan komunikasi a. Organisasi tidak menyadari pentingnya keamanan TI. b. Organisasi menyadari kebutuhan untuk keamanan TI, namun kepedulian keamanan tergantung pada individu. c. Kepedulian keamanan terpisah-pisah dan terbatas. d. Telah terdapat kepedulian keamanan dan dipromosikan oleh manajemen. Briefing untuk kepedulian keamanan telah distandarisasi dan diformalisasi. e. Kebutuhan bagi Keamanan sistem secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul. f. Kebutuhan keamanan TI telah didefinisikan dengan jelas, dioptimalkan dan dimasukkan ke dalam rencana keamanan yang terverifikasi. Kendali mitigasi yang memadai dikomunikasikan dan diterapkan dengan baik. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan memastikan keamanan sistem saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan memastikan keamanan sistem?
129
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada pelaporan keamanan TI dan tidak ada proses respon terhadap kegagalan keamanan TI. Terdapat kekurangan yang signifikan atas proses administrasi keamanan sistem yang diketahui. b. Respon terhadap kegagalan kemanan TI tidak dapat diprediksi. c. Kebijakan keamanan telah diuapayakan untuk dikembangkan. Informasi keamanan TI telah dihasilkan, namun tidak dianalisa. d. Prosedur keamanan TI telah didefinisikan dan disesuaikan ke dalam struktur untuk prosedur dan kebijakan keamanan. Telah terdapat rencana keamanan TI, analisis resiko yang terarah, dan solusi keamanan. Pengujian gangguan telah dilakukan secara ad-hoc. e. Kebijakan dan pelaksanaan keamanan telah dilengkapi dengan dasar keamanan spesifik. Analisis dampak dan resiko keamanan TI telah dilakukan secara konsisten. Pengujian terhadap gangguan merupakan proses standar dan terformalisasi yang menuju pada peningkatan. Proses-proses keamanan TI telah dikoordinasikan ke seluruh fungsi keamanan organisasi. Identifikasi, autentifikasi dan otorisasi pengguna telah distandarisasi. f. Proses dan teknologi keamanan diintegrasikan di seluruh bagian organisasi. Informasi mengenai ancaman dan kerentanan yang baru dikumpulkan dan dianalisa secara sistematis. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam memastikan keamanan sistem saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam memastikan keamanan sistem?
130
III
No. 1
2
Perangkat dan otomasi a. Tidak adanya perangkat untuk memastikan keamanan sistem. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software tertentu. c. Perangkat yang digunakan masih belum mencukupi. d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi. Perangkat yang digunakan masih belum terintegrasi. e. Analisis biaya/manfaat yang mendukung penerapan ukuran keamanan telah lebih dimanfaatkan. f. Pelaporan keamanan TI memberikan peringatan awal terhadap resiko yang muncul dan berubah-ubah, dengan menggunakan pendekatan pengawasan aktif secara terotomasi untuk sistem utama. Fungsifungsi keamanan telah diintegrasikan dengan aplikasi pada tahap desain dan pengguna akhir lebih dipercaya untuk mengelola keamanan. Insiden diselesaikan dengan tepat menggunakan prosedur respon insiden yang formal dan didukung oleh perangkat terotomasi. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan memastikan keamanan sistem saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses memastikan keamanan sistem?
131
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk memastikan keamanan sistem. b. Belum ada dalam perencanaan adanya pelatihan dalam memastikan keamanan sistem dan belum ada pelatihan formal yang dilakukan. c. Keahlian masih belum mencukupi. Solusi keamanan cenderung merespon insiden keamanan TI secara reaktif dan dengan mengadopsi bantuan pihak ketiga, tanpa memenuhi kebutuhan spesifik organisasi. d. Kebutuhan keahlian dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan. e. Briefing kepedulian keamanan telah menjadi kewajiban. Sertifikasi keamanan staf telah dilakukan. f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam memastikan keamanan sistem saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses memastikan keamanan sistem?
132
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tanggung jawab dan akuntabilitas tidak ditetapkan untuk memastikan keamanan. b. Kegagalan keamanan TI yang terdeteksi melibatkan penunjukkan tanggung jawab, karena tanggung jawab tidak jelas. c. Tanggung jawab dan akuntabilitas untuk keamanan TI dibebankan pada seorang koordinator TI tanpa otoritas manajemen. d. Tanggung jawab untuk keamanan TI telah ditetapkan, namun tidak diterapkan secara konsisten. e. Tanggung jawab untuk keamanan TI telah ditetapkan dengan jelas, dikelola dan diterapkan. f. Keamanan TI merupakan tanggung jawa bersama antara manajemen bisnis dan TI yang diintegrasikan dengan tujuan bisnis keamanan perusahaan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam memastikan keamanan sistem saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam memastikan keamanan sistem?
133
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Pengukuran dukungan manajemen keamanan TI tidak diterapkan. b. Keamanan TI ditujukan atas dasar reaktif dan tidak terukur. c. Pelaporan keamanan TI tidak lengkap, tidak terarah atau tidak saling berhubungan. d. Pelaporan keamanan TI difokuskan lebih kepada TI, bukan kepada bisnis. e. Pelaporan keamanan TI terhubung dengan tujuan bisnis. f. Pengujian intrusi, analisis akar permasalahan dari insiden keamanan, dan identifikasi resiko secara proaktif merupakan dasar bagi peningkatan secara kontinu. Penilaian keamanan secara periodik mengevaluasi efektifitas penerapan rencana keamanan. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam memastikan keamanan sistem saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam memastikan keamanan sistem?
134
Identifikasi dan Alokasi Biaya (DS6) I
No. 1
2
Kepedulian dan komunikasi a. Organisasi bahkan tidak menyadari adanya permasalahan yang akan diselesaikan terkait dengan pembukuan biaya dan tidak ada komunikasi mengenai permasalahan tersebut. b. Terdapat pemahaman secara umum mengenai keseluruhan biaya untuk layanan informasi, namun tidak ada rincian biaya untuk setiap pengguna, departemen, kelompok pengguna, fungsi layanan, proyek atau pemberian layanan. c. Terdapat kepedulian yang menyeluruh terhadap kebutuhan untuk mengidentifikasi dan mengalokasikan biaya. Tidak ada komunikasi formal mengenai prosedur alokasi dan identifikasi biaya standar. Terdapat tingkat kepedulian yang sesuai terhadap biaya untuk layanan informasi. d. Kebutuhan bagi alokasi dan identifikasi biaya secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam alokasi dan identifikasi biaya. e. Kebutuhan alokasi dan identifikasi biaya dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. f. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam alokasi dan identifikasi biaya yang juga merupakan peluang pengembangan kedepan. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan melakukan identifikasi dan alokasi biaya saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan melakukan identifikasi dan alokasi biaya?
135
II
No. 1
2
Kebijakan, standar dan prosedur a. Keberadaan proses-proses untuk mengidentifikasi dan mengalokasi biaya masih sangat minim terkait dengan layanan informasi yang diberikan. b. Tidak ada proses atau sistem untuk menutupi pengeluaran dalam mengenakan biaya pada pengguna atas pengeluaran dalam pemberian layanan informasi. Tidak ada pengawasan biaya yang nyata, melainkan hanya pelaporan biaya keseluruhan pada pihak manajemen. c. Alokasi biaya didasarkan pada asumsi biaya pokok atau informal, misalnya untuk biaya hardware, dan tidak ada keterkaitan dengan pengarahan nilai. Proses alokasi biaya dapat diulangi dan beberapa diantaranya mulai diawasi. d. Beberapa prosedur telah mulai didefinisikan dan didokumentasikan sebagai acuan melakukan beberapa aktivitas dasar dalam alokasi dan identifikasi biaya. e. Secara umum, terdapat evaluasi dan pengawasan biaya, serta tindakan yang diambil ketika proses tidak berjalan secara efektif atau efisien. Tindakan diambil pada sebagian besar kasus. Proses pengelolaan biaya ditingkatkan secara kontinu dan menerapkan pelaksanaan internal terbaik. f. Biaya dari layanan yang diberikan telah teridentifikasi, tercatat, terangkum dan dilaporkan ke pihak manajemen, pemilik proses bisnis dan pengguna. Biaya diidentifikasi sebagai pengeluaran dan mendukung sebuah sistem pembiayaan yang meminta tagihan kepada pengguna atas layanan yang diberikan berdasarkan jenis pemanfaatan. Rincian biaya mendukung kesepakatan tingkat layanan. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam melakukan identifikasi dan alokasi biaya saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam melakukan identifikasi dan alokasi biaya?
136
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat untuk mengidentifikasi dan mengalokasi biaya. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tertentu. c. Telah digunakannya perangkat untuk membantu proses alokasi dan identifikasi biaya sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Terdapat sistem pembukuan biaya yang terotomasi, namun lebih terfokus pada fungsi layanan informasi, bukan pada proses bisnis. Terdapat model pembiayaan layanan informasi yang terdokumentasi dan terdefinisi. Model tersebut dikomunikasikan dan diterapkan di organisasi. e. Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan secara berkala dan terotomasi pada manajemen, pemilik proses bisnis, dan pengguna. f. Model biaya variabel telah digunakan , diturunkan dari jumlah yang diproses untuk setiap layanan yang diberikan. Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan melakukan identifikasi dan alokasi biaya saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses melakukan identifikasi dan alokasi biaya?
137
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengidentifikasi dan mengalokasi biaya. b. Belum ada dalam perencanaan adanya pelatihan dan belum ada pelatihan formal yang dilakukan. c. Tidak ada pelatihan formal mengenai prosedur alokasi dan identifikasi biaya standar. d. Pelatihan dilakukan secara informal. e. Terdapat keterlibatan dari seluruh pakar manajemen biaya internal. f. Pakar eksternal telah dilibatkan dan dilakukan benchmarking sebagai panduan manajemen biaya. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam melakukan identifikasi dan alokasi biaya saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses melakukan identifikasi dan alokasi biaya?
138
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengidentifikasi dan mengalokasi biaya. b. Tanggungjawab masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Tanggung jawab tidak ditetapkan. d. Kepemilikan dan Tanggungjawab telah ditetapkan serta permasalahan alokasi dan identifikasi biaya dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya. e. Akuntabilitas dan tanggung jawab pengelolaan biaya layanan informasi telah didefinisikan dan dipahami secara menyeluruh di seluruh tingkatan dan didukung oleh pelatihan formal. f. Terdapat evaluasi dan pengawasan yang baik atas biaya layanan, dimana keragaman dari jumlah biaya teridentifikasi, serta ketidaksesuaian dirinci dan diselesaikan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam melakukan identifikasi dan alokasi biaya saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam melakukan identifikasi dan alokasi biaya?
139
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Belum ada penentuan pengukuran pencapaian untuk mengidentifikasi dan mengalokasi biaya. b. Tujuan identifikasi dan alokasi biaya belum jelas dan belum ada pengukuran. c. Aktivitas pengawasan terhadap alokasi dan identifikasi biaya mulai dilakukan walaupun masih belum secara konsisten. d. Beberapa tujuan dan pengukuran dalam alokasi dan identifikasi biaya telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. e. Pelaporan biaya layanan dihubungkan dengan tujuan bisnis dan kesepakatan tingkat layanan. f. Manajemen biaya telah disempurnakan ke arah pelaksanaan terbaik, berdasarkan hasil dari peningkatan secara kontinu dan pemodelan kematangan terhadap organisasi lainnya. Pelaporan biaya layanan informasi memberikan peringatan awal terhadap kebutuhan bisnis yang berubah-ubah melalui sistem pelaporan. Gambaran biaya yang diperoleh digunakan untuk memverifikasi penggunaan keuntungan dan digunakan dalam proses penyusunan anggaran organisasi. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam melakukan identifikasi dan alokasi biaya saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam melakukan identifikasi dan alokasi biaya?
140
Mendidik dan Melatih Pengguna (DS7) I
No. 1
2
Kepedulian dan komunikasi a. Organisasi bahkan tidak menyadari adanya permasalahan yang akan diselesaikan melalui pelatihan serta tidak adanya komunikasi mengenai permasalahan. b. Terdapat bukti bahwa organisasi telah menyadari kebutuhan akan program pendidikan dan pelatihan, namun tidak ada proses terstandarisasi. Keseluruhan pendekatan manajemen tidak dilakukan secara terpadu dan hanya terdapat komunikasi yang sporadis dan tidak konsisten mengenai permasalahan dan pendekatan terhadap pelatihan dan pendidikan. c. Terdapat kepedulian mengenai kebutuhan program pendidikan dan pelatihan dan untuk proses-proses yang terkait di seluruh organisasi. Komunikasi secara konsisten atas seluruh permasalahan dan kebutuhan untuk melakukannya tetap dilakukan. d. Program pendidikan dan pelatihan telah dikomunikasikan dan diterapkan di organisasi, pegawai dan manajer melakukan identifikasi dan dokumentasi kebutuhan pelatihan. e. Manajemen mendukung dan menghadiri sesi pelatihan dan pendidikan. f. Terdapat perilaku yang positif terkait dengan pelaksanaan etika dan prinsip keamanan sistem. TI digunakan secara ekstensif, terintegrasi, dan teroptimalisasi untuk mengotomasi dan menyediakan perangkat bagi program pelatihan dan pendidikan. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mendidik dan melatih pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mendidik dan melatih pengguna?
141
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur untuk mendidik dan melatih pengguna. b. Dalam ketidakadaan program yang terorganisir, para pegawai telah mengidentifikasi dan menghadiri kursus pelatihan secara individu. c. Pelatihan mulai diidentifikasi dalam rencana kinerja individu para pegawai. Proses telah dikembangkan hingga tingkatan dimana kelas pendidikan dan pelatihan informal diajarkan oleh instruktur yang berbeda, namun tetap mencakup permasalahan yang sama dengan pendekatan yang berbeda. d. Proses pendidikan dan pelatihan telah terdokumentasi. Analisis permasalahan pelatihan dan komunikasi tidak dilakukan secara rutin. Anggaran, sumberdaya, fasilitas dan trainer telah disediakan untuk mendukung program pelatihan dan pendidikan. e. Seluruh pegawai menerima tingkatan pelatihan pelaksanaan keamanan sistem yang sama dalam melindungi bahaya kegagalan yang mempengaruhi ketersediaan, kerahasiaan, dan integritas. f. Anggaran, sumberdaya, fasilitas, dan instruktur yang memadai diberikan untuk program pelatihan dan pendidikan. Pelatihan dan pendidikan merupakan komponen utama arah karir pegawai. Seluruh permasalahan dan penyimpangan dianalisa untuk akar permasalahan dan tindakan efisien diidentifikasi dan diambil dengan tepat. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mendidik dan melatih pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mendidik dan melatih pengguna?
142
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat untuk mendidik dan melatih pengguna. b. Beberapa perangkat untuk mendidik dan melatih pengguna mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tools Untuk mendidik dan melatih pengguna. c. Telah digunakannya perangkat untuk membantu mendidik dan melatih pengguna sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam mendidik dan melatih pengguna. Telah digunakan beberapa perangkat namun masih belum terintegrasi. e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mendidik dan melatih pengguna. f. Perangkat yang canggih digunakan dengan otomasi mendidik dan melatih pengguna secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mendidik dan melatih pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mendidik dan melatih pengguna?
143
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk mendidik dan melatih pengguna. b. Beberapa kursus pelatihan telah diarahkan untuk permasalahan pelaksanaan etika, kepedulian keamanan sistem dan pelaksanaan keamanan. c. Terdapat ketergantungan yang tinggi atas pengetahuan individu. Beberapa kelas telah mengarah pada permasalahan pelaksanaan etika dan pelaksanaan serta kepedulian keamanan sistem. d. Kelas-kelas formal diberikan pada pegawai dalam melaksanakan etika dan dalam kepedulian dan pelaksanaan keamanan sistem. e. Seluruh pegawai menerima pelatihan kepedulian keamanan sistem dan pelaksanaan etika. Pelatihan dan pendidikan merupakan sebuah komponen bagi arah karir pegawai. f. Pelatihan dan pendidikan berdampak pada peningkatan kinerja individu. Pakar pelatihan eksternal diperbanyak dan digunakan benchmarking sebagai panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mendidik dan melatih pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mendidik dan melatih pengguna?
144
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mendidik dan melatih pengguna. b. Tanggungjawab mendidik dan melatih pengguna masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Kepemilikan dan tanggungjawab untuk mendidik dan melatih pengguna secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan mendidik dan melatih pengguna, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan. d. Kepemilikan dan tanggungjawab mendidik dan melatih pengguna telah ditetapkan serta permasalahan yang terkait dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya. e. Tanggung jawab jelas dan kepemilikan proses telah ditentukan. f. Tanggung jawab mendidik dan melatih pengguna ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mendidik dan melatih pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mendidik dan melatih pengguna?
145
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Belum ada penentuan pengukuran pencapaian untuk mendidik dan melatih pengguna. b. Tujuan mendidik dan melatih pengguna belum jelas dan belum ada pengukuran yang dilakukan. c. Aktivitas pengawasan untuk mendidik dan melatih pengguna mulai dilakukan walaupun masih belum secara konsisten terutama pada aktivitas-aktivitas penting. d. Sebagian besar proses pendidikan dan pelatihan diawasi, namun tidak seluruh penyimpangan dapat terdeteksi oleh manajemen. e. Terdapat sebuah program pelatihan dan pendidikan secara komprehensif yang terfokus pada kebutuhan perusahaan dan individu serta menghasilkan keluaran yang terukur. Manajemen mengawasi kepatuhan dengan mereview dan memperbaharui proses serta program pendidikan dan pelatihan secara konstan. Proses ditingkatkan dan menerapkan pelaksanaan internal terbaik. f. Proses telah disempurnakan dan ditingkatkan secara kontinu, menggunakan keuntungan yang diperoleh dari pemodelan kematangan dan pelaksanaan eksternal terbaik dengan organisasi lainnya. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mendidik dan melatih pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mendidik dan melatih pengguna?
146
Mendampingi dan Memberikan Saran Kepada Pengguna (DS8) I
No. 1
2
Kepedulian dan komunikasi a. Organisasi tidak menyadari bahwa terdapat permasalahan yang akan diselesaikan. b. Organisasi telah mengetahui bahwa proses yang didukung oleh perangkat dan personil untuk merespon pertanyaan pengguna dan mengelola resolusi permasalahan. Manajemen tidak mengawasi pertanyaan, permasalahan atau tren pengguna. c. Terdapat kepedulian organisasi akan kebutuhan untuk membantu fungsi help desk. Terdapat komunikasi yang konsisten mengenai keseluruhan permasalahan dan kebutuhan untuk menyelesaikannya. d. Kebutuhan untuk membantu fungsi help desk telah diketahui dan diterima. e. Terdapat pemahaman menyeluruh mengenai manfaat dari help desk di seluruh tingkatan organisasi dan fungsi tersebut telah dibentuk pada unit organisasi yang tepat. f. Fungsi help desk telah dibentuk, diorganisasir dengan baik dan berorientasi pada layanan pelanggan, dengan menambah pengetahuan, fokus pada pelanggan, dan akan sangat membantu. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mendampingi dan memberikan saran kepada pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mendampingi dan memberikan saran kepada pengguna?
147
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur untuk mendampingi dan memberikan saran kepada pengguna. b. Tidak ada proses yang terstandarisasi dan hanya dukungan reaktif yang diberikan. Tidak ada proses eskalasi untuk memastikan bahwa permasalahan telah diselesaikan. c. Kegiatan mendampingi dan memberikan saran kepada pengguna telah dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya. d. Prosedur telah distandarisasi dan didokumentasikan serta terdapat pelatihan informal. e. Prosedur untuk mengkomunikasikan, mengeskalasi dan menyelesaikan permasalahan telah dibentuk dan dikomunikasikan. Staf help desk berinteraksi langsung dengan staf manajemen permasalahan. f. Manajemen menggunakan proses notifikasi secara pro aktif dan analisis tren untuk mencegah dan mengawasi permasalahan. Saran diberikan secara konsisten dan permasalahan diselesaikan dengan cepat dalam sebuah proses eskalasi terstruktur. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mendampingi dan memberikan saran kepada pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mendampingi dan memberikan saran kepada pengguna?
148
III
No. 1
2
Perangkat dan otomasi a. Tidak terdapat fungsi help desk. Tidak ada dukungan untuk menyelesaikan pertanyaan dan permasalahan pengguna. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tertentu. c. Individu-individu tersebut memiliki perangkat yang tersedia untuk membantu dalam penyelesaian masalah. d. Frequently Asked Questions (FAQs) dan panduan pengguna telah dikembangkan, namun individu masih harus mencarinya dan mungkin tidak mengikutinya. Pertanyaan dan permasalahan dilacak secara manual dan diawasi oleh individu, namun tidak ada sistem pelaporan formal. e. Perangkat dan teknik diotomasikan dengan basis pengetahuan permasalahan dan solusi yang terpusat. f. Perangkat digunakan untuk memungkinkan pengguna dalam melakukan diagnosa dan menyelesaikan permasalahan. TI digunakan dalam menciptakan, mengelola dan meningkatkan akses untuk mengotomasi basis pengetahuan yang mendukung penyelesaian permasalahan. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mendampingi dan memberikan saran kepada pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mendampingi dan memberikan saran kepada pengguna?
149
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk mendampingi dan memberikan saran kepada pengguna. b. Belum ada dalam perencanaan adanya pelatihan dalam mendampingi dan memberikan saran kepada pengguna dan belum ada pelatihan formal yang dilakukan. c. Panduan tersedia secara informal melalui sebuah jaringan individuindividu yang memiliki pengetahuan. Tidak ada pelatihan dan komunikasi formal mengenai prosedur standar. d. Kebutuhan keahlian dalam mendampingi dan memberikan saran kepada pengguna telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan. e. Personil help desk dilatih dan proses ditingkatkan melalui penggunaan perangkat lunak yang spesifik untuk pekerjaan tertentu. f. FAQ yang komprehensif dan diperluas merupakan bagian integral dari basis pengetahuan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mendampingi dan memberikan saran kepada pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mendampingi dan memberikan saran kepada pengguna?
150
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas untuk mendampingi dan memberikan saran kepada pengguna. b. Tanggungjawab mendampingi dan memberikan saran kepada pengguna masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Tanggung jawab diserahkan pada masing-masing individu. d. Keikutsertaan dalam pelatihan dan kepatuhan terhadap standar bergantung pada tanggung jawab individu. e. Tanggung jawab telah menjadi jelas dan efektifitas diawasi. f. Tanggung jawab mendampingi dan memberikan saran kepada pengguna ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mendampingi dan memberikan saran kepada pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mendampingi dan memberikan saran kepada pengguna?
151
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Belum ada penentuan pengukuran pencapaian untuk mendampingi dan memberikan saran kepada pengguna. b. Tujuan mendampingi dan memberikan saran kepada pengguna belum jelas dan belum ada pengukuran. c. Aktivitas pengawasan mulai dilakukan walaupun masih belum secara konsisten terutama pada aktivitas penting. d. Respon berkala terhadap pertanyaan dan permasalahan tidak diukur dan permasalahan terkadang tidak terselesaikan. Eskalasi permasalahan mulai dilakukan. e. Penyebab utama dari permasalahan telah diidentifikasi dan tren dilaporkan, berdampak pada koreksi permasalahan secara berkala. Proses sedang ditingkatkan dan menerapkan pelaksanaan internal terbaik. f. Proses telah disempurnakan hingga tingkat pelaksanaan eksternal terbaik, berdasarkan pada hasil peningkatan secara kontinu dan pemodelan kematangan dengan organisasi lainnya. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mendampingi dan memberikan saran kepada pengguna saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mendampingi dan memberikan saran kepada pengguna?
152
Mengelola Konfigurasi (DS9) I
No. 1
2
Kepedulian dan komunikasi a. Manajemen tidak memiliki apresiasi terhadap manfaat dari pembentukan proses untuk melaporkan dan mengelola infrastruktur TI, untuk konfigurasi hardware maupun software. b. Kebutuhan untuk manajemen konfigurasi telah diketahui. c. Manajemen memiliki kepedulian terhadap manfaat pengendalian konfigurasi TI. d. Kebutuhan untuk mengakurasikan dan melengkapi informasi konfigurasi telah dipahami dan diterapkan. e. Kebutuhan untuk mengelola konfigurasi diketahui oleh seluruh tingkatan organisasi dan pelaksanaan terbaik terus ditingkatkan. f. Kebutuhan pengelolaan konfigurasi dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola konfigurasi yang juga merupakan peluang pengembangan kedepan. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola konfigurasi saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola konfigurasi?
153
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur dalam mengelola konfigurasi. b. Tidak ada pelaksanaan standar yang diterapkan. c. Konten data konfigurasi dibatasi dan tidak digunakan oleh proses yang saling berhubungan seperti manajemen perubahan dan manajemen permasalahan. d. Prosedur dan pelaksanaan pekerjaan telah didokumentasikan, distandarisasi dan dikomunikasikan, namun pelatihan dan penerapan standar tergantung pada individu. Penyimpangan prosedur sulit dideteksi dan verifikasi fisik dilakukan secara tidak konsisten. e. Prosedur dan standar dikomunikasikan dan digabungkan dalam pelatihan, penyimpangan yang terjadi akan diawasi, dilacak dan dilaporkan. Sistem manajemen konfigurasi tidak mencakup sebagian besar infrastruktur TI dan memungkinkan dilakukannya release management yang baik dan kendali distribusi. Analisis pengecualian dan verifikasi fisik diterapkan secara konsisten dan penyebab utamanya diidentifikasi. f. Proses-proses yang terkait diintegrasikan seluruhnya dan digunakan seperti halnya data konfigurasi pembaharuan. Data konfigurasi disesuaikan dengan katalog vendor. Aturan instalasi software yang sah telah diterapkan. Manajemen memprediksi perbaikan dan upgrade dari laporan analisis sehingga memberikan upgrade yang terjadwal dan kemampuan pembaharuan teknologi. Pelacakan aset dan pengawasan setiap workstation melindungi aset dan mencegah pencurian dan penyalahgunaan. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mengelola konfigurasi saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola konfigurasi?
154
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat dan otomasi dalam mengelola konfigurasi. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software. c. Perangkat manajemen konfigurasi digunakan sampai tingkatan tertentu, namun berbeda untuk setiap platform. d. Perangkat manajemen konfigurasi yang serupa diimplementasikan di seluruh platform. Terdapat beberapa otomasi untuk membantu dalam melacak perubahan peralatan dan software. Data konfigurasi digunakan oleh proses yang saling berhubungan. e. Perangkat terotomasi digunakan seperti teknologi penekanan untuk menerapkan standar dan meningkatkan stabilitas. f. Seluruh komponen infrastruktur dikelola dalam sistem manajemen konfigurasi, yang mencakup seluruh informasi yang diperlukan mengenai komponen-komponen dan keterkaitannya. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mengelola konfigurasi saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola konfigurasi?
155
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada keahlian dan kepakaran dalam mengelola konfigurasi. b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola konfigurasi dan belum ada pelatihan formal dilakukan untuk mengelola konfigurasi. c. Terdapat ketergantungan secara implisit pada pengetahuan dan keahlian personil teknis. d. Kebutuhan keahlian dalam mengelola konfigurasi telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan. e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan konfigurasi untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait manajemen data telah dilakukan sesuai dengan rencana dan sharing pengetahuan dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen konfigurasi telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola konfigurasi saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola konfigurasi?
156
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengelola konfigurasi. b. Tugas manajemen konfigurasi dasar seperti merawat inventaris hardware dan software dilakukan secara individual. c. Kepemilikan dan tanggungjawab atas pengelolaan konfigurasi secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengelolaan konfigurasi, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan. d. Kepemilikan dan Tanggungjawab pengelolaan konfigurasi telah ditetapkan dan dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya. e. Tanggungjawab pengelolaan konfigurasi didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini. f. Tanggung jawab pengelolaan konfigurasi ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mengelola konfigurasi saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola konfigurasi?
157
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian dalam mengelola konfigurasi. b. Tujuan pengelolaan konfigurasi belum jelas dan belum ada pengukuran yang dilakukan. c. Tidak ada pelaksanaan kerja standar yang telah didefinisikan. d. Beberapa tujuan dan pengukuran dalam pengelolaan konfigurasi telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. e. Indikator pencapaian tujuan dan kinerja telah disepakati user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan konfigurasi. Perbaikan secara berkelanjutan pada proses pengelolaan konfigurasi dilakukan. f. Laporan audit dasar menyediakan data hardware dan software untuk perbaikan, layanan, garansi, upgrade dan penilaian teknis dari setiap unit. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mengelola konfigurasi saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola konfigurasi?
158
Mengelola Permasalahan dan Insiden (DS10) I
No. 1
2
Kepedulian dan komunikasi a. Tidak ada kepedulian terhadap kebutuhan untuk mengelola permasalahan dan insiden. b. Organisasi telah menyadari bahwa terdapat kebutuhan untuk menyelesaikan permasalahan dan mengevaluasi insiden. c. Terdapat kepedulian yang tinggi mengenai kebutuhan untuk mengelola permasalahan yang terkait dengan TI dalam unit bisnis dan fungsi layanan informasi. d. Pengguna telah menerima komunikasi yang jelas mengenai waktu dan cara melaporkan permasalahan dan insiden. e. Proses manajemen permasalahan dipahami di seluruh tingkatan dalam organisasi. f. Kebutuhan manajemen permasalahan dan insiden, dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola permasalahan dan insiden yang juga merupakan peluang pengembangan kedepan. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola permasalahan dan insiden saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola permasalahan dan insiden?
159
II
No. 1
2
Kebijakan, standar dan prosedur a. Proses penyelesaian masalah bersifat informal, pengguna dan staf TI menyelesaikan masalah dengan pendekatan kasus per kasus. b. Manajemen seringkali merubah fokus dan arahan staf dukungan teknis dan operasi. c. Informasi dibagikan ke seluruh staf, namun proses tetap tidak terstruktur, informal dan umumnya bersifat reaktif. d. Penyimpangan dari norma-norma atau standar yang ada terkadang tidak terdeteksi. Penyelesaian, eskalasi dan resolusi masalah telah distandarisasi walaupun belum sepenuhnya. e. Metode dan prosedur telah didokumentasikan, dikomunikasikan, dan diukur untuk mencapai efektifitas. Manajemen permasalahan dan insiden diintegrasikan dengan semua proses yang terkait, seperti perubahan, ketersediaan dan manajemen konfigurasi, serta mendampingi pelanggan dalam mengelola data, fasilitas dan operasi. f. Proses manajemen permasalahan dan insiden telah menjadi lebih proaktif dan inovatif, sehingga berkontribusi pada tujuan TI. Permasalahan diantisipasi dan kemungkinan dapat dicegah. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mengelola permasalahan dan insiden saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola permasalahan dan insiden?
160
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat untuk mengelola permasalahan dan insiden. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana untuk menggunakan perangkat software. c. Telah digunakannya perangkat untuk membantu proses pengelolaan permasalahan dan insiden sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Perekaman dan pelacakan masalah serta resolusinya terpisah-pisah dalam tim penanggung jawab, dengan menggunakan perangkat yang tersedia tanpa analisis atau desentralisasi. e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mengelola permasalahan dan insiden. f. Sebagian besar sistem telah dilengkapi dengan mekanisme peringatan dan pendeteksian otomatis, yang dilacak dan dievaluasi secara kontinu. Perekaman, pelaporan serta analisis permasalahan dan resolusi diotomasikan dan diintegrasikan sepenuhnya dengan manajemen manajemen data konfigurasi. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola permasalahan dan insiden saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola permasalahan dan insiden?
161
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengelola permasalahan dan insiden. b. Individu utama yang memiliki pengetahuan memberikan beberapa panduan atas permasalahan yang terkait dengan keahlian dan tanggung jawab mereka. Informasi tidak dibagikan dengan pihak lain dan solusi bervariasi dari satu personil pendukung ke personil lainnya, berdampak pada terbentuknya permasalahan tambahan dan hilangnya waktu produktif ketika mencari jawaban. c. Tingkat layanan untuk komunitas pengguna bervariasi dan dipersulit oleh ketidakcukupan pengetahuan terstruktur yang tersedia bagi pihak yang menyelesaikan masalah. d. Kebutuhan keahlian dalam mengelola permasalahan dan insiden telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkanada inisiatif perorangan. e. Pengetahuan dan keahlian disempurnakan, dijaga dan dikembangkan ke tingkatan yang lebih tinggi karena fungsi layanan informasi telah dipandang sebagai aset dan kontributor utama bagi pencapaian tujuan TI. f. Pengetahuan dijaga melalui hubungan dengan para vendor dan pakar, dengan mempertimbangkan pola permasalahan dan insiden di masa lalu dan yang akan datang. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mengelola permasalahan dan insiden saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola permasalahan dan insiden?
162
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengelola permasalahan dan insiden. b. Tanggungjawab mengelola permasalahan dan insiden masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Proses resolusi telah berubah hingga suatu titik dimana beberapa individu utama bertanggung jawab untuk mengelola permasalahan dan insiden yang terjadi. d. Kebutuhan akan sistem manajemen permasalahan yang efektif diterima dan dibuktikan dengan penugasan staf, pelatihan dan dukungan dari tim penanggung jawab. e. Tanggung jawab dan kepemilikan bersifat jelas dan diketahui. f. Tanggung jawab mengelola permasalahan dan insiden ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mengelola permasalahan dan insiden saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola permasalahan dan insiden?
163
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Belum ada penentuan pengukuran pencapaian untuk mengelola permasalahan dan insiden. b. Tujuan pengelolaan permasalahan dan insiden belum jelas dan belum ada pengukuran. c. Pelaporan manajemen atas insiden dan analisis terjadinya masalah masih terbatas dan bersifat informal. d. Beberapa tujuan dan pengukuran dalam pengelolaan permasalahan dan insiden telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. e. Kemampuan respon terhadap insiden diuji secara berkala. Sebagian besar permasalahan dan insiden diidentifikasi, direkam dilaporkan dan dianalisa untuk peningkatan secara kontinu dan dilaporkan ke pihak stakeholder. f. Indikator pencapaian tujuan dan kinerja telah disepakati oleh user, dikaitkan dengan tujuan bisnis dan secara konsisten dimonitor menggunakan proses yang telah didefinisikan. Mengintegrasikan sistem pengukuran kinerja proses mengelola permasalahan dan insiden yang mengaitkan kinerja TI dan tujuan bisnis dengan menerapkan IT Balanced Scorecard. Peluang bagi perbaikan dan penyempurnaan proses mengelola permasalahan dan insiden terus dan terus digali. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mengelola permasalahan dan insiden saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola permasalahan dan insiden?
164
Mengelola Data (DS11) I
No. 1
2
Kepedulian dan komunikasi a. Data belum diakui sebagai aset dan sumber daya perusahaan. b. Organisasi mulai menyadari adanya kebutuhan manajemen data yang akurat. Proses pengelolaan data merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan c. Adanya kesadaran akan kebutuhan manajemen data untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan pengelolaan data. d. Adanya pemahaman akan kebutuhan manajemen data. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses pengelolaan data. e. Kebutuhan bagi manajemen data secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan data. f. Kebutuhan manajemen data dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola data yang juga merupakan peluang pengembangan kedepan. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan pengelolaan data saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan pengelolaan data?
165
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada prosedur untuk menangani data. b. Menggunakan pendekatan ad hoc untuk menangani kebutuhan keamanan pada manajemen data, namun belum menggunakan prosedur dengan pendekatan formal. Prosedur backup/restorasi dan pengaturan penghapusan sudah ada. c. Penanganan keamanan pada manajemen data telah dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya. d. Beberapa prosedur telah mulai didefinisikan dan didokumentasikan sebagai acuan melakukan beberapa aktivitas dasar dalam pengelolaan data seperti proses backup/ restorasi dan penghapusan peralatan/ media. e. Prosedur-prosedur secara lengkap pada proses pengelolaan data, yang mengacu pada standar, yang menerapkan internal best-practice, telah diformalkan dan disosialisasikan secara luas serta mulai dilakukan sharing knowledge. f. Prosedur-prosedur secara lengkap pada proses pengelolaan data, diformalkan dan disosialisasikan, serta sharing knowledge menjadi praktek yang harus dilakukan untuk melakukan pengembangan berkelanjutan. Prosedur dalam mengelola data tersebut mengacu pada standar dan terintegrasi serta telah menerapkan external best practices. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mengelola data saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola data?
166
III
No. 1
2
Perangkat dan otomasi a. Tidak adanya tools untuk mengelola data. b. Beberapa tools mungkin telah ada, karena memang sudah tersedia (bawaan) dalam tools perangkat standar. Belum ada rencana menggunakan software tools pengelolaan data. c. Telah digunakannya tools untuk membantu proses pengelolaan data sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Adanya rencana penggunaan tools standar untuk melakukan otomasi dalam sistem pengelolaan data. Telah digunakan beberapa tools untuk keperluan backup/restorasi serta penghapusan peralatan/media namun masih belum terintegrasi. e. Penggunaan tools terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan tools. Beberapa tools telah terintegrasi dengan tools yang lainnya. Tools tersebut digunakan untuk mengotomasikan proses utama dalam mengelola data. f. Tools yang canggih digunakan dengan otomasi manajemen data secara maksimal dan terintegrasi dengan tools lain yang terkait. Toolsdigunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan pengelolaan data saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses pengelolaan data?
167
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengelola data. b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola data dan belum ada pelatihan formal dilakukan. c. Kebutuhan skill minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola data. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu. d. Kebutuhan skill dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan. e. Kebutuhan skill secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait manajemen data telah dilakukan sesuai dengan rencana dan knowledgesharing dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan skill secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen data telah dilembagakan.Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam pengelolaan data saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses pengelolaan data?
168
V
No. 1 2
Tanggung jawab dan akuntabilitas a. Tidak ada kepemilikan data atau siapa yang bertanggungjawab dalam pengelolaan data. b. Tanggungjawab manajemen data masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Kepemilikan dan tanggungjawab atas manajemen data secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan manajemen data, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan d. Kepemilikan dan Tanggung jawab manajemen data telah ditetapkan serta permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya e. Tanggung jawab dan kepemilikan pada manajemen data didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini. f. Tanggung jawab kepemilikan data dan manajemen data ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam pengelolaan data saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam pengelolaan data?
169
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Kebutuhan akan kualitas dan keamanan data belum ada. b. Tujuan pengelolaan data belum jelas dan belum ada pengukuran. c. Aktivitas pengawasan terhadap manajemen data mulai dilakukan walaupun masih belum secara konsisten terutama pada aktivitas penting seperti backup, restorasi, dan penghapusan. d. Beberapa tujuan dan pengukuran dalam pengelolaan data telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. e. Indikator pencapaian tujuan dan kinerja telah disepakati user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan data. Perbaikan secara berkelanjutan pada proses pengelolaan data dilakukan. f. Indikator pencapaian tujuan dan kinerja telah disepakati oleh user, dikaitkan dengan tujuan bisnis dan secara konsisten dimonitor menggunakan proses yang telah didefinisikan. Mengintegrasikan sistem pengukuran kinerja proses pengelolaan data yang mengaitkan kinerja TI dan tujuan bisnis dengan menerapkan IT Balanced Scorecard. Peluang bagi perbaikan dan penyempurnaan proses pengelolaan data terus dan terus digali. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam pengelolaan data saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam pengelolaan data?
170
Mengelola Fasilitas (DS12) I
No. 1
2
Kepedulian dan komunikasi a. Tidak ada kepedulian akan kebutuhan untuk melindungi fasilitas atau investasi dalam sumberdaya komputasi. b. Organisasi telah mengetahui kebutuhan bisnis untuk menyediakan kondisi yang cocok untuk melindungi sumberdaya dan personil dalam menghadapi bencana alam maupun yang disebabkan oleh manusia. c. Kepedulian akan kebutuhan untuk melindungi dan mengendalikan lingkungan pemrosesan fisik telah diketahui dan tercermin pada alokasi anggaran dan sumberdaya lainnya. Keamanan fisik merupakan proses informal yang diawali oleh inisiatif sekelompok kecil pegawai yang memiliki kepedulian tinggi untuk mengamankan fasilitas fisik. d. Kebutuhan untuk menjaga lingkungan pemrosesan yang terkendali dipahami dan diterima oleh organisasi. e. Kebutuhan untuk merawat lingkungan pemrosesan terkendali telah dipahami dengan baik, hal tersebut tercermin pada struktur organisasi dan alokasi anggaran. Daya pemulihan sumberdaya pemrosesan digabungkan ke dalam proses manajemen resiko organisasi. f. Terdapat rencana jangka panjang untuk fasilitas yang diperlukan untuk mendukung lingkungan pemrosesan organisasi. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola fasilitas saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola fasilitas?
171
II
No. 1
2
Kebijakan, standar dan prosedur a. Faktor lingkungan seperti pemadam kebakaran, sampah, listrik, kelemababan dan panas yang berlebihan tidak diawasi dan dikendalikan. b. Tidak ada prosedur standar dan manajemen fasilitas dan peralatan bergantung pada kemampuan dan keahlian personil utama. Kenyamanan lingkungan tidak ditinjau dan perpindahan orang-orang dalam fasilitas tidak dibatasi. c. Prosedur perawatan fisik tidak terdokumentasi dengan baik dan bergantung pada pelaksanaan terbaik sebagian kecil individu. d. Faktor kendali lingkungan, perawatan preventif dan keamanan fisik dimasukkan dalam anggaran yang disetujui dan dilacak oleh manajemen. Larangan akses telah diterapkan, dimana hanya personil tertentu yang diizinkan untuk mengakses fasilitas pemrosesan. Resiko telah diasuransikan, namun tidak ada upaya untuk mengoptimalkan biaya asuransi. e. Perencanaan dibentuk untuk keseluruhan organisasi, terdapat pengujian terintegrasi dan teratur serta hal-hal yang dipelajari digabungkan ke dalam revisi rencana. Mekanisme kendali standar ditujukan untuk membatasi akses ke fasilitas dan menangani faktor keamanan dan lingkungan. Kebutuhan keamanan fisik dan lingkungan telah terdokumentasi, akses diawasi dan dikendalikan secara ketat. Informasi yang terintegrasi digunakan untuk mengoptimalkan cakupan asuransi dan biaya yang terkait. f. Standar telah didefinisikan untuk seluruh fasilitas, mencakup pemilihan lokasi, konstruksi, penjagaan, keamanan personil, sistem listrik dan mekanik, serta perlindungan dari kebakaran, petir dan banjir. Seluruh fasilitas diinventaris dan diklasifikasikan menurut proses manajemen resiko yang dijalankan di organisasi. Strategi dan standar fasilitas disesuaikan dengan sasaran ketersediaan layanan TI dan diintegrasikan dengan perencanaan kelangsungan bisnis dan manajemen krisis. Akses dikendalikan berdasarkan basis kebutuhan kerja, diawasi secara kontinu dan pengunjung selalu dipandu. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mengelola fasilitas saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola fasilitas?
172
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat untuk mengelola fasilitas. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software. c. Telah digunakannya perangkat untuk membantu proses pengelolaan fasilitas sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Fasilitas fisik sulit dikenali dan belum dapat diidentifikasi. e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mengelola fasilitas. f. Lingkungan diawasi dan dikendalikan melalui peralatan khusus dan akses ke ruangan peralatan dibatasi dengan ketat. Program perawatan preventif menekankan kepatuhan pada jadwal dan pengujian reguler diterapkan untuk peralatan yang sensitif. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mengelola fasilitas saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola fasilitas?
173
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengelola fasilitas. b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola fasilitas dan belum ada pelatihan formal yang dilakukan. c. Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola fasilitas. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu. d. Kebutuhan keahlian dalam mengelola fasilitas telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan pada inisiatif perorangan. e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan fasilitas untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan fasilitas telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen fasilitas telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola fasilitas saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola fasilitas?
174
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengelola fasilitas. b. Manajemen tidak mengawasi kendali lingkungan fasilitas atau perpindahan personil. Tanggungjawab mengelola fasilitas masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Kendali lingkungan diterapkan dan diawasi oleh personil operasi. d. Pengunjung dicatat dan terkadang dipandu, tergantung pada individu yang bertanggung jawab. Otoritas sipil mengawasi kesesuaian dengan regulasi kesehatan dan keamanan. e. Tanggung jawab dan kepemilikan telah dibentuk dan dikomunikasikan. Staf fasilitas telah sepenuhnya dilatih dalam situasi darurat, sebagaimana pelaksanaan keamanan dan kesehatan. f. Tanggung jawab pengelolaan fasilitas ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mengelola fasilitas saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola fasilitas?
175
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian dalam mengelola fasilitas. b. Tujuan pengelolaan fasilitas belum jelas dan belum ada pengukuran. c. Pencapaian keamanan fisik tidak didasarkan pada standar formal dan manajemen tidak memastikan bahwa tujuan keamanan telah dicapai. d. Beberapa tujuan dan pengukuran dalam pengelolaan fasilitas telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. e. Manajemen mengawasi efektivitas kendali dan kepatuhan dengan standar yang berlaku. f. Manajemen mereview dan mengoptimalkan fasilitas secara kontinu, menekankan pada kesempatan untuk meningkatkan kontribusi bisnis. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mengelola fasilitas saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola fasilitas?
176
Mengelola Operasi (DS13) I
No. 1
2
Kepedulian dan komunikasi a. Organisasi tidak mengalokasikan waktu dan sumberdaya untuk aktifitas dasar operasi dan dukungan TI. b. Organisasi menyadari kebutuhan untuk menstrukturkan fungsi dukungan TI. c. Organisasi memiliki kepedulian penuh terhadap peran utama yang dijalankan operasi TI dalam menyediakan fungsi dukungan TI. Organisasi juga mengkomunikasikan kebutuhan untuk melakukan koordinasi antara pengguna dan pengoperasian sistem. d. Kebutuhan manajemen pengoperasian komputer dipahami dan diterima dalam organisasi. e. Kebutuhan bagi Pengelolaan operasi secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan operasi. f. Kebutuhan pengelolaan operasi dan pemahaman atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola operasi yang juga merupakan peluang pengembangan kedepan. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola operasi saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola operasi?
177
II
No. 1
2
Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur untuk mengelola operasi. b. Tidak ada prosedur standar dan aktifitas operasi bersifat reaktif. Sebagian besar operasi tidak terjadwal secara formal dan permintaan pemrosesan diterima tanpa melakukan validasi. Waktu akan terbuang ketika pegawai menunggu tersedianya sumberdaya. c. Operasi dukungan TI bersifat informal dan intuitif. Tidak ada standar pengoperasian dan tidak ada pelatihan operator secara formal. Instruksi tentang apa yang akan dilakukan, kapan dan bagaimana urutan pelaksanaannya tidak terdokumentasi. d. Sumberdaya telah dialokasikan dan terdapat beberapa on-the-job training. Fungsi yang berulang didefinisikan, didokumentasikan dan dikomunikasikan secara formal ke personil operasi dan pelanggan. Kendali yang ketat dilakukan setelah menempatkan pekerjaan baru pada operasi dan kebijakan formal digunakan untuk mengurangi jumlah kejadian yang tidak terjadwal. Kesepakatan layanan dan perawatan dengan vendor masih bersifat informal. e. Penyimpangan dari norma-norma yang ada diselesaikan dan dikoreksi dengan cepat. Terdapat kesepakatan layanan dan perawatan formal dengan vendor. Operasi didukung melalui anggaran sumberdaya untuk pengeluaran modal dan sumberdaya manusia. f. Operasi pendukung TI bersifat efektif, efisien dan cukup fleksibel untuk memenuhi kebutuhan tingkat layanan dengan cepat dan tanpa kehilangan produktivitas. Pertemuaan berkala dengan manajemen perubahan memastikan dicakupnya perubahan dalam jadwal produksi. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mengelola operasi saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola operasi?
178
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat untuk mengelola operasi. b. Komputer yang mendukung proses bisnis seringkali terganggu, tertunda atau tidak tersedia. Sistem tidak stabil atau tidak tersedia dan media keluaran terkadang muncul secara tidak diharapkan atau tidak muncul sama sekali. c. Anggaran untuk perangkat dialokasikan berdasarkan kasus per kasus. d. Penggunaan penjadwalan terotomasi dan perangkat lainnya diperluas dan distandarisasi untuk membatasi intervensi operator. e. Manajemen mengawasi penggunaan sumberdaya komputer dan penyelesaian pekerjaan atau tugas yang telah ditetapkan. Terdapat upaya untuk meningkatkan tingkat otomasi proses sebagai alat untuk memastikan peningkatan secara kontinu. f. Peralatan dianalisa berdasarkan usia dan gejala kerusakan serta perawatan bersifat preventif, seluruh hal tersebut dilakukan bersamasama dengan vendor. Proses terotomasi yang mendukung sistem beroperasi dengan sempurna dan berkontribusi ke lingkungan yang stabil yang transparan dan dapat digunakan oleh pengguna, sehingga memungkinkan pengguna untuk memaksimalkan kesesuaian kebutuhannya dengan operasi TI. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mengelola operasi saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola operasi?
179
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk mengelola operasi. b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola operasi dan belum ada pelatihan formal dilakukan. c. Terdapat ketergantungan yang tinggi pada kemampuan dan keahlian individu. d. Kebutuhan keahlian dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan. e. Pelatihan telah dijalankan dan diformalkan, sebagai bagian dari pengembangan karir. f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf pengelolaan operasi telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola operasi saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola operasi?
180
V
No. 1 2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam mengelola operasi. b. Tanggungjawab manajemen operasi masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Kepemilikan dan tanggungjawab atas pengelolaan operasi secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengelolaan operasi, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan. d. Aktifitas dukungan TI lainnya telah diidentifikasi dan tugas-tugas yang terkait dengan tanggung jawab tersebut telah didefinisikan. e. Tanggung jawab dukungan dan pengoperasian komputer didefinisikan dengan jelas dan kepemilikannya ditetapkan. Jadwal dan tugas telah didokumentasikan dan dikomunikasikan ke fungsi TI dan klien bisnis. f. Tanggung jawab pengelolaan operasi ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mengelola operasi saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mengelola operasi?
181
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian dalam mengelola operasi. b. Tujuan pengelolaan operasi belum jelas dan belum ada pengukuran. c. Manajemen tidak mengukur jadwal yang dipenuhi oleh operasi TI atau menganalisa penundaan. d. Kejadian dan hasil tugas yang telah diselesaikan direkam, namun pelaporan ke pihak manajemen dibatasi atau tidak ada. e. Terdapat penyesuaian penuh dengan permasalahan dan proses manajemen ketersediaan, dengan didukung oleh analisis penyebab kegagalan dan error. Pengukuran dan pengawasan aktifitas harian dapat dilakukan dengan tingkat layanan dan kesepakatan kinerja yang telah distandarisasi. f. Proses manajemen TI operasioal distandarisasi dan didokumentasikan dalam sebuah basis pengetahuan dan ditujukan untuk peningkatan secara kontinu. Seluruh permasalahan dan kegagalan dianalisa untuk mengidentifikasi akar permasalahan. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mengelola operasi saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mengelola operasi?
182
Melakukan Pengawasan Proses (M1) I
No. 1
2
Kepedulian dan komunikasi a. Kebutuhan untuk memahami tujuan proses dengan jelas tidak diketahui. b. Manajemen menyadari kebutuhan untuk mengumpulkan dan menilai informasi tentang proses pengawasan. c. Fungsi layanan informasi dikelola sebagai pusat biaya, tanpa menilai kontribusinya terhadap entitas penghasil keuntungan bagi organisasi. d. Manajemen telah mengkomunikasikan dan menerapkan proses pengawasan standar. e. Manajemen telah mendefinisikan toleransi terhadap proses yang harus dioperasikan. f. Kebutuhan pengawasan proses dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola data yang juga merupakan peluang pengembangan kedepan. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan melakukan pengawasan proses saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan melakukan pengawasan proses?
183
II
No. 1
2
Kebijakan, standar dan prosedur a. Organisasi tidak menerapkan proses pengawasan. TI tidak melakukan pengawasan proyek atau proses secara independen. b. Pengawasan diterapkan secara reaktif pada insiden yang menyebabkan kerugian dan menurunnya citra organisasi. Pengawasan diterapkan oleh fungsi layanan informasi untuk dimanfaatkan oleh departemen lainnya, namun tidak diterapkan di seluruh proses-proses TI. Proses penilaian dan pengumpulan standar belum teridentifikasi. c. Penanganan pengawasan proses telah dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya. d. Penilaian masih dilakukan pada proses TI individu dan tingkatan proyek namun tidak terintegrasi di seluruh proses. e. Pendasaran hasil pengawasan telah distandarisasi dan dinormalisasikan. Terdapat integrasi metrik di seluruh proyek dan proses TI. f. Seluruh proses pengawasan dioptimalkan dan mendukung tujuan organisasi. Sebuah proses peningkatan kualitas secara kontinu dikembangkan untuk memperbaharui standar dan kebijakan pengawasan organisasi dan menjadikanya pelaksanaan terbaik industri. Pengawasan proses dan desain ulang yang sedang berjalan konsisten dengan rencana yang dikembangkan berdasarkan model kematangan proses dan dengan rencana pengembangan proses bisnis organisasi. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam melakukan pengawasan proses saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam melakukan pengawasan proses?
184
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat untuk melakukan pengawasan proses. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software. c. Perangkat yang dipilih dan digunakan untuk memperoleh informasi masih terbatas dan mungkin tidak digunakan sepenuhnya karena kurangnya kepakaran dalam fungsionalitasnya. Teknik dan metode penilaian dan pengumpulan telah didefinisikan, namun proses-proses belum diadopsi di seluruh organisasi. d. Perangkat untuk mengawasi proses TI internal dan tingkat layanan telah diterapkan. e. Sistem pelaporan manajemen fungsi layanan informasi telah diformalkan dan sepenuhnya terotomasi. Perangkat otomasi diintegrasikan dan digunakan di organisasi untuk mengumpulkan dan mengawasi informasi operasional dari aplikasi, sistem dan proses. f. Perangkat yang canggih digunakan dengan otomasi pengawasan proses secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan melakukan pengawasan proses saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses melakukan pengawasan proses?
185
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk melakukan pengawasan proses. b. Belum ada dalam perencanaan adanya pelatihan dalam melakukan pengawasan proses dan belum ada pelatihan formal dilakukan. c. Fungsi perencanaan dan manajemen dibuat untuk menilai proses pengawasan, namun keputusan dibuat berdasarkan kepakaran personil utama. d. Program pendidikan dan pelatihan untuk pengawasan telah diterapkan. Telah dikembangkan sebuah basis pengetahuan mengenai informasi kinerja historis. e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengawasan proses untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengawasan proses telah dilakukan sesuai dengan rencana dan Sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf pengawasan proses telah dilembagakan.Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam melakukan pengawasan proses saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses melakukan pengawasan proses?
186
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam melakukan pengawasan proses. b. Tanggungjawab melakukan pengawasan proses masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Tanggung jawab pengawasan proses secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengawasan proses, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan. d. Tanggungjawab pengawasan proses telah ditetapkan serta permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya. e. Tanggungjawab dan kepemilikan pada pengawasan proses didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini. f. Tanggung jawab pengawasan proses ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam melakukan pengawasan proses saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam melakukan pengawasan proses?
187
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Tidak ada pelaporan yang akurat, berkala dan bermanfaat. b. Pengawasan telah diterapkan dan metrik dipilih berdasarkan kasus per kasus, sesuai dengan kebutuhan dari proses-proses dan proyek TI yang spesifik. Definisi dan pengukuran pengawasan proses mengikuti pendekatan kendali internal dan operasi keuangan tradisional, tanpa memenuhi kebutuhan fungsi layanan informasi secara spesifik. c. Pengukuran dasar yang akan diawasi telah diidentifikasi. d. Pengukuran kinerja spesifik TI telah didefinisikan dan diterapkan, namun pengukuran strategis dan non finansial masih bersifat informal. Pengukuran kepuasan pelanggan dan tingkat layanan disediakan bagi entitas pengoperasian organisasi yang sedang menerapkannya. Pengukuran kontribusi fungsi layanan informasi terhadap kinerja organisasi telah didefinisikan menggunakan kriteria operasional dan keuangan tradisional. e. Sebuah framework telah didefinisikan untuk mengidentifikasi KGI, KPI dan CSF yang berorientasi strategis untuk mengukur kinerja. Kriteria untuk mengevaluasi pengembangan organisasi berdasarkan model kematangan telah didefinisikan. Ukuran kinerja fungsi layanan informasi mencakup kriteria pembelajaran organisasi dan pelanggan, operasional dan keuangan yang memastikan kesesuaian dengan pencapaian organisasi. f. Benchmarking terhadap industri dan kompetitor utama telah diformalkan dengan kriteria perbandingan yang dipahami dengan baik. KGI, KPI dan CSF digunakan secara rutin untuk mengukur kinerja dan diintegrasikan kedalam framework penilaian strategis seperti IT Balanced Scorecard. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam melakukan pengawasan proses saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam melakukan pengawasan proses?
188
Menilai Ketersediaan Kontrol Internal (M2) I
No. 1
2
.
Kepedulian dan komunikasi a. Tidak ada kepedulian atas jaminan kendali internal dan keamanan operasional TI. Manajemen dan pegawai tidak memiliki kepedulian yang cukup akan kendali internal. b. Organisasi tidak memiliki komitmen manajemen yang cukup untuk standar keamanan operasional dan jaminan kendali internal. c. Organisasi memiliki peningkatan kepedulian mengenai pengawasan kendali internal. Faktor resiko yang spesifik terhadap lingkungan TI telah didefinisikan. d. Manajemen memberikan dukungan dan telah menerapkan pengawasan kendali internal. e. Kebutuhan menilai ketersediaan kontrol internal secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam menilai ketersediaan kontrol internal. f. Kebutuhan untuk menilai ketersediaan kontrol internal dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam menilai ketersediaan kontrol internal yang juga merupakan peluang pengembangan kedepan. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan menilai ketersediaan kontrol internal saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan menilai ketersediaan kontrol internal?
189
II
No. 1
2
Kebijakan, standar dan prosedur a. Organisasi tidak memiliki prosedur untuk mengawasi efektifitas kendali internal. b. Kendali internal TI dilakukan sebagai bagian dari audit finansial tradisional, dengan metodologi dan keahlian yang tidak mencerminkan kebutuhan fungsi layanan informasi. c. Manajemen layanan informasi melakukan pengawasan terhadap efektifitas kendali internal utama secara teratur. Organisasi menggunakan laporan kendali informal untuk mengawali inisiatif tindakan korektif. Kendali keamanan diawasi dan hasilnya direview secara teratur. d. Kebijakan dan prosedur telah dikembangkan untuk menilai dan melaporkan aktifitas pengawasan kendali internal. Review detail untuk pengawasan kendali internal telah dilakukan. Kebijakan penilaian resiko proses TI digunakan dalam framework kendali yang dikembangkan secara khusus untuk organisasi TI. Fungsi layanan sistem informasi mengembangkan kemampuan kendali internal TI yang berorientasi teknis untuk digunakan olehnya. e. Organisasi mengembangkan tingkatan toleransi untuk proses pengawasan kendali internal. Resiko yang khusus atas proses dan kebijakan mitigasi didefinisikan untuk seluruh fungsi layanan informasi. f. Manajemen telah mengembangkan program peningkatan secara kontinu bagi organisasi yang mempertimbangkan hal-hal yang dipelajari dan pelaksanaan terbaik industri untuk pengawasan kendali internal. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam menilai ketersediaan kontrol internal saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam menilai ketersediaan kontrol internal?
190
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat untuk menilai ketersediaan kontrol internal. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software. c. Metodologi dan perangkat yang spesifik untuk lingkungan TI mulai digunakan namun tidak secara konsisten. d. Perangkat sudah digunakan namun tidak dirasa perlu untuk diintegrasikan ke dalam seluruh proses. e. Perangkat yang menjadi semakin terotomasi dan terintegrasi digunakan dalam proses review kendali internal, dengan peningkatan penggunaan kendali dan analisis kuantitatif. f. Organisasi menggunakan perangkat state of the art yang terintegrasi dan diperbaharui apabila diperlukan. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan menilai ketersediaan kontrol internal saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses menilai ketersediaan kontrol internal?
191
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk menilai ketersediaan kontrol internal. b. Kepakaran individu dalam menilai kecukupan kendali internal diterapkan secara ad-hoc. c. Proses perencanaan dan manajemen terdefinisikan, namun penilaian bergantung pada keahlian personil-personil utama. Staf TI yang memiliki keahlian berpartisipasi secara rutin dalam penilaian kendali internal. d. Sebuah basis pengetahuan metrik untuk informasi historis dari pengawasan kendali internal sedang dikembangkan. Program pendidikan dan pelatihan untuk pengawasan kendali internal telah diterapkan. e. Fungsi kendali formal untuk internal TI telah dibentuk, dengan profesional bersertifikat dan memiliki spesialisasi memanfaatkan framework kendali formal yang disahkan oleh manajemen senior. f. Sharing pengetahuan telah diformalkan dan program pelatihan formal yang spesifik untuk fungsi layanan informasi telah diterapkan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam menilai ketersediaan kontrol internal saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses menilai ketersediaan kontrol internal?
192
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam menilai ketersediaan kontrol internal. b. Manajemen TI tidak menetapkan tanggung jawab untuk mengawasi efektifitas kendali internal secara formal. c. Tanggungjawab untuk pengawasan kendali internal secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengawasan kendali internal, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan. d. Tanggungjawab pengawasan kendali internal telah ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya. e. Tanggungjawab untuk menilai ketersediaan kontrol internal didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini. f. Tanggung jawab untuk menilai ketersediaan kontrol internal ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam menilai ketersediaan kontrol internal saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam menilai ketersediaan kontrol internal?
193
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Tidak ada metode pelaporan kendali internal manajemen. b. Tujuan menilai ketersediaan kontrol internal belum jelas dan belum ada pengukuran. c. Manajemen mulai mengembangkan metrik dasar. d. Penilaian mandiri dan review jaminan kendali internal telah dikembangkan di seluruh keamanan operasional dan jaminan kendali internal serta melibatkan manajemen fungsi layanan informasi untuk bekerja dengan manajer bisnis. e. Manajemen telah mengembangkan benchmarking dan pencapaian kuantitatif untuk proses review kendali internal. Benchmarking terhadap standar industri dan pengembangan pelaksanaan terbaik sedang diformalkan. f. Framework kendali TI tidak hanya melibatkan permasalahan teknis, namun terintegrasi dengan metodologi dan framework organisasi untuk memastikan konsistensi dengan pencapaian organisasi. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam menilai ketersediaan kontrol internal saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam menilai ketersediaan kontrol internal?
194
Memperoleh Jaminan Independen (M3) I
No. 1
2
Kepedulian dan komunikasi a. Tidak ada kepedulian dan komunikasi untuk memperoleh jaminan independen. b. Organisasi mulai menyadari adanya kebutuhan untuk memperoleh jaminan independen. Proses memperoleh jaminan independen.merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan. c. Manajemen senior mendukung dan memiliki komitmen atas jaminan independen. d. Manajemen telah melakukan review partisipatif terhadap seluruh tindakan penjaminan. Manajemen diluar fungsi layanan informasi telah teribat secara proaktif dalam review penjaminan dan sertifikasi. e. Kebutuhan bagi memperoleh jaminan independen secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam memperoleh jaminan independen. f. Manajemen telah mengembangkan kemampuan untuk dengan cepat mengintegrasikan hasil kegiatan penjaminan dan sertifikasi kedalam proses-proses di organisasi. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan memperoleh jaminan independen saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan memperoleh jaminan independen?
195
II
No. 1
2
Kebijakan, standar dan prosedur a. Kebijakan keamanan tidak diterapkan. Manajemen tidak menjalankan program sertifikasi atau penjaminan. Organisasi tidak memiliki proses penjaminan yang sesuai. b. Sertifikasi dan penjaminan dikendalikan oleh hal-hal seperti perubahan regulasi, kebutuhan atau permintaan pelanggan. Organisasi mengelola proses-proses TI secara independen. Proses penjaminan dan sertifikasi ditujukan atas dasar pengecualian. c. Persyaratan penjaminan masih terkait dengan persyaratan dan kebutuhan bisnis serta dipicu oleh fungsi layanan sistem informasi. Proses untuk memilih sumberdaya internal atau eksternal sedang diformalisasi. Manajemen fungsi layanan informasi telah menerapkan proses-proses untuk mengelola aktifitas penjaminan. Fungsi layanan informasi memberikan penilaian resiko untuk mengidentifikasi resiko keamanan sistem. Manajemen resiko sebagai bagian dari manajemen fungsi layanan informasi, memicu program sertifikasi dan penjaminan. d. Organisasi telah mendefinisikan dan menerapkan proses-proses untuk aktivitas penjaminan TI dan kriteria untuk menggunakan sumberdaya internal dan eksternal berdasarkan tingkat kepakaran, sensitivitas dan independensi yang diperlukan. Proses penjaminan mencakup persyaratan legal dan regulasi, kebutuhan sertifikasi, efektifitas organisasi secara umum dan identifikasi pelaksanaan terbaik. e. Manajemen telah menerapkan proses-proses penjaminan untuk memastikan bahwa proses-proses TI telah teridentifikasi dan memiliki perencanaan penjaminan spesifik. Proses penjaminan dikelola dan dikendalikan secara kuantitatif. Proses-proses TI direview dalam konteks proses bisnis yang didukungnya. f. Terdapat strategi yang terdefinisi secara formal, didukung oleh manajemen senior, untuk mengembangkan kepatuhan terhadap standar nasional dan internasional dan untuk memperoleh sertifikasi yang dipandang sebagai sumber pengakuan dan keuntungan kompetitif. Organisasi telah memiliki program peningkatan secara kontinu untuk proses penjaminan dan sertifikasi yang menggambarkan pelaksanaan terbaik industri. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam memperoleh jaminan independen saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam memperoleh jaminan independen?
196
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat untuk memperoleh jaminan independen. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software. c. Metode dan teknik dikembangkan untuk sertifikasi dan penjaminan dan sedang dilakukan benchmarking untuk mengembangkan pelaksanaan terbaik. d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam memperoleh jaminan independen. Telah digunakan beberapa perangkat untuk keperluan backup/restorasi serta penghapusan peralatan/media namun masih belum terintegrasi. e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam memperoleh jaminan independen. f. Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan memperoleh jaminan independen saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses memperoleh jaminan independen?
197
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk memperoleh jaminan independen. b. Proses penjaminan dilakukan secara reaktif melalui penugasan atau oleh spesialis teknis yang tidak memiliki keahlian penjaminan khusus. c. Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam memperoleh jaminan independen. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu. d. Telah dikembangkan basis pengetahuan untuk pelaksanaan terbaik sertifikasi dan pelaksanaan. e. Manajemen menggunakan hal-hal yang dipelajari dari proses-proses sertifikasi dan penjaminan untuk meningkatkan proses-proses lainnya, berdasarkan hal-hal yang telah dipelajari. Basis pengetahuan digunakan untuk memastikan bahwa pelaksanaan terbaik digunakan dalam proses-proses yang baru dan untuk melakukan benchmark pada proses-proses lainnya. Sebuah proses formal ditujukan untuk memastikan kompetensi fungsi penjaminan dengan mengevaluasi keseimbangan antara keahlian dan pengetahuan yang tersedia secara internal/eksternal secara kontinu. f. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk memperoleh jaminan independen telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam memperoleh jaminan independen saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses memperoleh jaminan independen?
198
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam memperoleh jaminan independen. b. Tanggungjawab untuk memperoleh jaminan independen masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Tanggung jawab untuk memperoleh jaminan independen secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan memperoleh jaminan independen, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan. d. Proses-proses utama TI telah disertifikasi. Persyaratan penjaminan telah dikembangkan untuk proses-proses TI. e. Tanggungjawab dalam memperoleh jaminan independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini. f. Tanggung jawab untuk memperoleh jaminan independen ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam memperoleh jaminan independen saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam memperoleh jaminan independen?
199
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. SLA belum dikembangkan dan proses tidak terukur. b. Tujuan memperoleh jaminan independen belum jelas dan belum ada pengukuran yang dilakukan. c. Aktivitas pengawasan dalam memperoleh jaminan independen mulai dilakukan walaupun masih belum secara konsisten terutama pada aktivitas penting seperti backup, restorasi, dan penghapusan. d. Beberapa tujuan dan pengukuran dalam memperoleh jaminan independen telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. e. Kriteria biaya/manfaat untuk melakukan penilaian berbasis internal/eksternal telah didefinisikan. f. Manajemen telah menerapkan ukuran untuk memastikan bahwa seluruh proses bisnis kritis memiliki proses penjaminan di seluruh infrastruktur TI pendukungnya. Efektivitas penyedia layanan pihak ketiga dan hubungan dengan rekan bisnis dievaluasi secara rutin. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam memperoleh jaminan independen saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam memperoleh jaminan independen?
200
Melakukan Audit Independen (M4) I
No. 1
2
Kepedulian dan komunikasi a. Manajemen tidak memiliki kepedulian akan pentingnya fungsi audit independen. b. Organisasi mulai menyadari adanya kebutuhan untuk melakukan audit independen. Proses audit independen merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan. Keterlibatan manajemen masih sangat minim. c. Perhatian dan keterlibatan manajemen TI pada proses audit tidak konsisten dan tergantung pada kualitas yang diperoleh dari tim audit khusus. d. Manajemen audit telah mengidentifikasi dan memahami inisiatif dan lingkungan TI. Manajemen TI perduli terhadap kebutuhan untuk melakukan audit independen. e. Kebutuhan untuk melakukan audit independen secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam melakukan audit independen. Manajemen TI umumnya dilibatkan secara positif dalam keseluruhan proses audit. f. Fungsi audit independen mampu segera merespon kepedulian manajemen yang terkait dengan proses bisnis dan permasalahan resiko kendali TI organisasi secara kontinu. Pertanyaan a b c d e f Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan melakukan audit independen saat ini? Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan melakukan audit independen?
201
II
No. 1
2
Kebijakan, standar dan prosedur a. Audit independen tidak dilakukan. Tidak ada kebijakan, standar dan prosedur untuk melakukan audit independen. b. Sebuah fungsi audit TI informal telah dilakukan dengan disertai review independen secara berkala. Tidak ada perencanaan keseluruhan untuk melakukan audit independen dan tidak ada koordinasi antara setiap review. c. Keberadaan fungsi audit independen diakui manajemen sebagai sesuatu yang bermanfaat, namun tidak ada kebijakan tertulis untuk mendefinisikan tujuan, otoritas, dan tanggung jawab. Manajemen senior tidak mengembangkan sebuah infrastruktur dan proses untuk memastikan bahwa audit independen dilakukan secara teratur. d. Kontrak untuk fungsi audit TI dibuat oleh manajemen senior dan dilanjutkan dengan memberikan kebebasan dan otoritas dari fungsi audit. Sebuah proses dilakukan untuk merencanakan dan mengelola audit. Staf audit diharapkan dapat mematuhi standar audit, namun hasilnya dapat bervariasi. Fungsi TI, keuangan dan audit proses tidak terintegrasi. e. Proses audit dapat disesuaikan dengan kesepakatan khusus. Perencanaan audit berbasis resiko strategis dan operasional telah dilakukan, berdasarkan pada penilaian kebutuhan saat ini dan di masa depan. Perencanaan audit individu dikembangkan berdasarkan siklus perencanaan operasional dan ketersediaan sumberdaya. Audit dikoordinasikan dan diintegrasikan dengan audit proses dan keuangan yang terkait. Fungsi jaminan kualitas yang terstruktur memfasilitasi manajemen kuantitatif dan kendali proses audit. Fungsi audit TI dilibatkan dalam pengembangan tindakan korektif dan dalam pelaksanaan proyek untuk memastikan bahwa kendali dibuat ke dalam proses. f. Perencanaan audit sangat terintegrasi dengan strategi bisnis dan TI. Proses-proses audit diawasi dan dianalisa untuk melakukan perbaikan dalam menyesuaikan terhadapa kondisi lingkungan yang selalu berubah-ubah. Audit dilibatkan dalam pengembangan perencanaan bisnis dan dalam semua proyek yang mendukung perencanaan bisnis, untuk memastikan bahwa kendali yang sesuai dilakukan ke dalam seluruh proses. Pertanyaan a b c d e f Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam melakukan audit independen saat ini? Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam melakukan audit independen?
202
III
No. 1
2
Perangkat dan otomasi a. Tidak ada perangkat untuk melakukan audit independen. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software. c. Telah digunakannya perangkat untuk membantu proses audit independen sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam melakukan audit independen. Telah digunakan beberapa perangkat namun masih belum terintegrasi. e. Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam melakukan audit independen. f. Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi. Pertanyaan a b c d e f Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan melakukan audit independen saat ini? Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses melakukan audit independen?
203
IV
No. 1
2
Keahlian dan kepakaran a. Tidak ada pelatihan untuk melakukan audit independen. b. Perencanaan, pengelolaan dan pelaporan audit independen didasarkan pada kepakaran individu. c. Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam melakukan audit independen. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu. d. Manajemen TI tidak selalu terpuaskan dengan kualitas yang diberikan dan tidak memiliki kepercayaan bahwa fungsi audit memiliki pengetahuan yang cukup untuk membuat rekomendasi yang valid. e. Telah dibentuk dasar pengetahuan proses dan dikembangkan untuk memastikan bahwa penilaian kualitas dapat dilakukan dan dihasilkan rekomendasi yang berguna. f. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pertanyaan a b c d e f Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam melakukan audit independen saat ini? Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses melakukan audit independen?
204
V
No. 1
2
Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan akuntabilitas dalam melakukan audit independen. Tanggungjawab Untuk melakukan audit independen masih tidak jelas dan belum didefinisikan. b. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan. c. Tanggung jawab untuk melakukan audit independen secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan dalam melakukan audit independen, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan. d. Tanggungjawab untuk melakukan audit independen telah ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya. e. Tanggungjawab untuk melakukan audit independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini. f. Tanggung jawab untuk melakukan audit independen ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan. Pertanyaan a b c d e f Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam melakukan audit independen saat ini? Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam melakukan audit independen?
205
VI
No. 1
2
Penentuan dan pengukuran pencapaian a. Tidak ada penentuan dan pengukuran pencapaian melakukan audit independen. b. Kualitas perencanaan dan pelaksanaan layanan audit sangat rendah, dengan hasil yang beragam. c. Koordinasi antara pelaksanaan audit masih sangat minim dan tindak lanjut dari temuan pada audit sebelumnya masih terbatas. Resolusi atas komentar audit telah dilakukan, namun seringkali terdapat tindak lanjut dan penyelesaian yang buruk. Elemen dasar dari jaminan kualitas dilakukan untuk memastikan bahwa pelaksanaan telah sesuai dengan standar audit yang dapat diterapkan dan untuk meningkatkan efektivitas dari aktivitas fungsi audit. d. Hasil dilaporkan pada manajemen dan dilakukan tindak lanjut untuk memastikan bahwa manajemen telah mengambil tindakan korektif pada permasalahan kritis yang diidentifikasi melalui audit. Hasil audit digunakan untuk meningkatkan kinerja. e. Aktivitas pengawasan kuantitatif dimasukkan dalam komunitas audit dan mempertimbangkan state of the art pelaksanaan terbaik industri dan kecenderungan eksternal dalam menyesuaikan proses audit. Hasil audit dikonsultasikan di seluruh proyek sebagai saran bagi bisnis dan kendali. Pertanyaan a b c d e f Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam melakukan audit independen saat ini? Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam melakukan audit independen?
206
LAMPIRAN D - IMPLEMENTASI TATA KELOLA TI
Perencanaan Sumberdaya
Ringkasan eksekutif Bagian ini mencakup perencanaan sumberdaya yang dibutuhkan untuk melakukan proyek implementasi tata kelola TI di PT. Surveyor Indonesia.
Pendahuluan dan Latar Belakang Perencanaan sumberdaya merupakan tahapan awal dalam melakukan persiapan proyek implementasi tata kelola TI di PT. Surveyor Indonesia. Perencanaan yang dilakukan meliputi susunan tim proyek, kantor proyek, dan dokumentasi proyek. Dengan perencanaan yang baik diharapkan pelaksanaan proyek implementasi tata kelola TI di PT. Surveyor Indonesia dapat berjalan dengan optimal sesuai dengan tujuan yang ingin dicapai.
Tim Proyek •
Manajemen 1. Kepala Unit Teknologi Informasi 2. Kepala Satuan Pengawas Internal
•
Anggota tetap 1. Staf Unit Teknologi Informasi 2. Staf Satuan Pengawas Internal
•
Anggota tidak tetap 1. Sekretaris Perusahaan 2. Kepala Divisi Manajemen Strategi 3. Kepala Unit Manajemen Resiko 4. Kepala Divisi Keuangan dan Akuntansi 5. Kepala Divisi Sumber Daya Manusia 6. Kepala Divisi Manajemen Fasilitas 7. Kepala Divisi Satuan Pengawas Internal 8. Kepala Unit PKBL
207
9. Kepala SBU Bidang Pertambangan dan Energi I 10. Kepala SBU Bidang Pertambangan dan Energi II 11. Kepala SBU Kelautan, Lingkungan dan Kehutanan 12. Kepala SBU Perdagangan dan Keuangan 13. Kepala SBU Industri Pertambangan dan Energi 14. Kepala SBU Pemberdayaan dan Pengembangan Industri Dalam Negeri •
Estimasi perencanaan waktu dan kebutuhan sumberdaya Waktu pelaksanaan proyek implementasi tata kelola TI direncanakan dalam periode 6 (enam) bulan, terhitung dari bulan Juli 2008 sampai bulan Desember 2008. Kebutuhan sumberdaya akan disesuaikan dengan fasilitas dan infrastruktur yang tersedia.
Kantor Proyek •
Lokasi Unit Teknologi Informasi PT. Surveyor Indonesia PT. Surveyor Indonesia. Wisma Adi Graha Lt. 6 Jl. Jend. Gatot Subroto Kav. 56 Jakarta
•
Fasilitas Meliputi seluruh fasilitas yang tersedia pada Unit Teknologi Informasi PT. Surveyor Indonesia dan dapat menggunakan fasilitas yang tersedia di Divisi lainnya apabila diperlukan dengan melalui persetujuan dari divisi yang bersangkutan.
Dokumentasi proyek •
Referensi COBIT Referensi yang akan digunakan dalam implementasi tata kelola TI adalah COBIT versi 3.0.
•
Kebijakan dan pedoman lainnya Kebijakan dan pedoman lainnya akan disesuaikan dengan kebijakan dan pedoman pada rancangan model pengelolaan TI yang telah dibuat dengan perubahan-perubahan yang diperlukan pada saat melakukan implementasi.
208
•
Standar dan kebijakan perusahaan yang relevan Proyek implementasi tata kelola TI akan tetap mengacu pada standar dan kebijakan perusahaan mengenai pelaksanaan proyek.
•
Delivery hasil proyek Delivery hasil proyek implementasi tata kelola TI akan berupa delivery value untuk bisnis dan TI bagi perusahaan, serta keselarasan antara tujuan keduanya. Delivery hasil proyek akan dibedakan menjadi beberapa tahapan berikut ini : 1.
Tahap inisiasi, delivery pada tahap ini antara lain berupa dokumen proposal dan lingkup proyek.
2.
Tahap perencanaan, delivery pada tahap ini antara lain berupa dokumen rencana manajemen proyek, anggaran proyek, penilaian resiko proyek, dan rencana kontingensi.
3.
Tahap pelaksanaan dan pengawasan, delivery pada tahap ini antara lain berupa dokumen pelaporan progress, hasil project meetings, mekanisme kendali perubahan dan rencana komunikasi.
4.
Tahap penyelesaian, delivery pada tahap ini antara lain berupa dokumen dokumentasi pendukung dan laporan evaluasi proyek.
•
Laporan proyek Laporan proyek akan diberikan dan dipresentasikan oleh tim pelaksana proyek kepada seluruh jajaran direksi dan pihak manajemen di seluruh divisi PT. Surveyor Indonesia. Bentuk dan waktu penyerahan laporan disesuaikan dengan delivery hasil proyek.
Framework
Ringkasan eksekutif Bagian ini akan mencakup alasan pemilihan dan deskripsi dari framework yang akan digunakan dalam melakukan tata kelola TI di PT. Surveyor Indonesia.
209
Pendahuluan dan Latar Belakang Framework yang akan digunakan dalam melakukan tata kelola TI di PT. Surveyor Indonesia adalah COBIT (Control Objectives for Information and related Technology). Pemilihan framework COBIT didasarkan pada keunggulannya dalam mengintegrasikan praktek-praktek yang baik TI dan menyediakan kerangka kerja untuk tata kelola TI yang dapat membantu pemahaman dan pengelolaan risiko serta memperoleh keuntungan terkait dengan TI. Dengan demikian implementasi COBIT sebagai framework tata kelola TI akan dapat memberikan keuntungan : 1. Penyelarasan yang lebih baik, berdasarkan pada fokus bisnis. 2. Sebuah pandangan, dapat dipahami oleh manajemen tentang hal yang dilakukan TI. 3. Tanggungjawab dan kepemilikan yang jelas didasarkan pada orientasi proses. 4. Dapat diterima secara umum dengan pihak ketiga dan pembuat aturan 5. Berbagi pemahaman diantara pihak yang berkepentingan, didasarkan pada penggunaan bahasa yang sama. 6. Pemenuhan kebutuhan atau sebagai pelengkap bagi Committee of Sponsoring Organization of the Treadway Commission (COSO) untuk lingkungan kendali TI.
Framework tata kelola dan kendali TI •
Model Proses COBIT Framework COBIT mengorganisasikan aktivitas-aktivitas TI ke dalam sebuah model proses yang diakui secara luas. Proses model membagi aktivitasaktivitas TI ke dalam 4 domain dan 34 proses yang terkait dengan wilayah tanggung jawab dalam hal perencanaan, pembentukan, pelaksanaan dan pengawasan untuk menyediakan gambaran yang jelas mengenai TI.
•
Model Kendali COBIT Model kendali standar COBIT mengidentifikasi sejumlah CSF yang umumnya diterapkan untuk keseluruhan proses karena terkait dengan apa yang dimaksud dengan standar, pihak mana yang menyusun, mengontrol atau mengambil
210
tindakan, dan sebagainya. Prinsip-prinsip dari model kendali tersebut antara lain : 1. Proses yang terdefinisi dan terdokumentasi 2. Kebijakan yang terdefinisi dan terdokumentasi 3. Akuntabilitas yang jelas 4. Dukungan/komitmen yang kuat dari manajemen 5. Komunikasi yang tepat ke pihak internal dan eksternal 6. Pelaksanaan pengukuran secara konsisten •
Metrik dan Ukuran Metrik dan ukuran digunakan untuk mendefinisikan apa yang diharapkan bisnis dari TI (apa yang digunakan untuk mengukur TI dari perspektif bisnis). COBIT menggunakan 2 jenis ukuran yaitu goal indicator dan performance indicator. Goal Indicator pada tingkat yang lebih rendah menjadi performance indicator pada tingkat yang lebih tinggi.
•
Scorecard Kelangsungan atas penyampaian hasil bisnis yang diinginkan dijamin oleh umpan balik dan pembelajaran yang dapat diperoleh antara lain dengan melakukan penyusunan IT balanced scorecards.
•
Kriteria dan model kematangan kapabilitas Model kematangan (maturity model) digunakan sebagai alat untuk melakukan benchmarking dan self-assessment oleh manajemen TI secara lebih efisien. Proses benchmarking dapat dilakukan secara bertahap terhadap tujuan kendali, dimulai dari proses-proses dan high-level control objectives pada COBIT sehingga dapat diperoleh 3 hal berikut ini : 1. Ukuran relatif terhadap kondisi organisasi saat ini 2. Petunjuk untuk memutuskan arah dan tujuan secara efisien 3. Perangkat untuk mengukur kemajuan terhadap pencapaian
•
Standar terkait dan best practices Saat ini telah banyak dikembangkan model standar Tata kelola TI. Setiap standar memiliki fokus penekanan yang berbeda-beda serta kelebihan dan kekurangan masing-masing. Beberapa model standar Tata Kelola TI yang banyak digunakan pada saat ini, antara lain:
211
1. Committee of Sponsoring Organization of the Treadway Commission (COSO) Tabel A.1 berikut ini menunjukkan bahwa sebagian proses COBIT di domain PO, AI, dan DS dilakukan di COSO, namun tidak satupun proses di domain M dilakukan. Tabel A.1 Perbandingan Proses COBIT dan COSO Proses dan Domain COBIT 1
2
3
4
5
6
PO +
+
+
+
-
+
+
+
+
+
+
+
DS +
-
+
+
+
-
M
-
-
-
AI
-
7
8
9
10
11
+
+
+
-
-
+
-
+
-
+
12
13
+
-
Keterangan : (+) Dilakukan (-) Tidak atau jarang dilakukan
Hal ini menunjukkan bahwa COSO lebih memfokuskan kepada proses penyelarasan TI dengan strategi perusahaan tetapi hanya memfokuskan kepada sebagian proses pelayanan dan dukungan yang perlu diberikan saja, tanpa melakukan proses pengawasan. COSO memiliki beberapa komponen, yaitu : Control environment, Risk assessment, Control activities, Information and communication, dan Monitoring. Komponen Control activities merupakan kebijakan dan prosedur yang dibentuk untuk tujuan manajemen resiko dan memenuhi tujuan yang didefinisikan oleh organisasi. Proses DS 13 (mengelola operasi) COBIT yang akan diimplementasikan pada proyek ini relevan dengan komponen Control activities pada standar COSO.
2. The International Organization for Standardization / The International Electrotechnical Commission (ISO/IEC 17799) Tabel A.2 berikut ini menunjukkan bahwa ISO/IEC 17799 melakukan sebagian proses-proses pada seluruh domain COBIT.
212
Tabel A.2 Perbandingan Proses COBIT dan ISO/IEC 17799 Proses dan Domain COBIT 1
2
3
4
5
6
PO -
+
+
+
-
+
-
+
+
+
+
+
DS -
+
+
+
+
-
M
+
-
-
AI
+
7
8
9
10
11
+
+
+
-
-
+
+
+
+
+
12
13
+
-
Keterangan : (+) Dilakukan (-) Tidak atau jarang dilakukan
Hal ini menunjukkan ISO/IEC 17799 memiliki spektrum yang luas dalam hal pengelolaan TI seperti halnya COBIT, namun ISO/IEC 17799 tidak memiliki kelengkapan proses pengelolaan TI seluas COBIT. Proses DS 13 (mengelola operasi) COBIT yang akan diimplementasikan pada proyek ini relevan dengan beberapa komponen pada standar ISO/IEC 17799, yaitu ISO17799 8.1.1: 8.1.1 (Documented operating procedures), ISO17799 8.1.2: 8.1.2 (Operational change control), dan ISO17799 9.3.2: 8.4.2 (Operator logs).
3. The Information Technology Infrastructure Library (ITIL) Tabel A.3 berikut ini menunjukkan bahwa ITIL sangat memfokuskan pada proses desain dan implementasi TI serta pelayanan pelanggan (customer service), hal ini memperlihatkan bahwa hampir seluruh proses pada domain AI dan DS COBIT dilakukan pada ITIL.
213
Tabel A.3 Perbandingan Proses COBIT dan ITIL Proses dan Domain COBIT 1
2
3
4
5
6
PO -
-
+
+
+
-
+
+
+
+
+
+
DS +
+
+
+
+
+
M
-
-
-
AI
-
7
8
9
10
11
-
-
-
+
-
-
+
+
+
+
12
13
+
+
Keterangan : (+) Dilakukan (-) Tidak atau jarang dilakukan
Pada Tabel A.3 dapat dilihat bahwa sebagian proses PO dilakukan, sehingga menunjukkan bahwa ITIL tidak terlalu memfokuskan pada proses penyelarasan strategi perusahaan dengan pengelolaan TI. Prosesproses pada domain M sama sekali tidak dilakukan oleh ITIL, hal ini menunjukkan ITIL tidak melakukan pengawasan yang akan memastikan kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.
Dapat disimpulkan bahwa model-model standar selain COBIT tidak memiliki range spektrum pengelolaan TI yang seluas COBIT. Modelmodel tersebut hanya melakukan sebagian dari proses-proses pengelolaan yang ada di dalam COBIT. Pada Tabel A.4 berikut ini dapat dilihat pemetaan antara COBIT dan model-model standar lainnya.
Tabel A.4 Pemetaan Standar COBIT dan Standar Lainnya Domain COBIT Standar
PO
AI
DS
M
ITIL
○
+
+
-
ISO/IEC 17799
○
+
+
○
COSO
+
+
○
-
214
Keterangan : (+) Dilakukan (○) Dilakukan sebagian (-) Tidak atau jarang dilakukan
Gambar A.1 berikut ini memetakan standar COBIT dengan standar lainnya dalam hal kedalaman dan kelengkapan proses-proses TI yang dilihat dalam koordinat dua dimensi: a.
Vertikal, melihat kedalaman standar dalam hal teknis dan operasional.
b.
Horizontal, melihat kelengkapan proses-proses TI.
Gambar A.1 Pemetaan COBIT terhadap COSO, ISO/IEC 17799 dan ITIL
Dari Gambar A.1 tersebut dapat dilihat bahwa COBIT mempunyai kombinasi antara dimensi horizontal dan vertikal yang lebih baik dari standar-standar lainnya. COBIT memiliki spektrum proses TI yang lebih luas dan lebih mendetail. ITIL merupakan standar yang paling mendetail dan mendalam dalam mendefinisikan proses-proses TI yang bersifat teknis
215
dan operasional. Sedangkan COSO mempunyai detail yang dangkal, walaupun spektrum proses teknis dan operasionalnya cukup luas. •
Standar tata kelola Penggunaan standar Tata Kelola COBIT akan memberikan keuntungankeuntungan sebagai berikut : 1. The Wheel Exists - Penggunaan standar yang sudah ada dan mapan (mature) akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri suatu kerangka kerja dengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas. 2. Structured - Standar menyediakan suatu kerangka kerja yang terstruktur yang mudah dipahami dan diikuti manajemen. Kerangka kerja yang terstruktur dengan baik akan memberikan setiap orang pandangan yang relatif sama. 3. Best Practices - Standar telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi diseluruh dunia. Pengalaman yang direfleksikan dalam model-model tata kelola yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu. 4. Knowledge Sharing - Dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku dan media informasi lainnya. 5. Auditable - Tanpa standar baku, akan sulit bagi auditor, terutama auditor dari pihak ketiga untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik manajemen maupun auditor memiliki dasar yang sama dalam melakukan pengelolaan TI dan pengukurannya.
•
Prosedur tata kelola Terdapat 4 fase prosedur penerapan Tata Kelola TI menggunakan COBIT, yaitu fase identify needs (mengidentifikasi kebutuhan), envision solution (meramalkan solusi), plan solution (merencanakan solusi), dan implement solution (menerapkan solusi). Keempat fase tersebut merupakan tahapan yang harus dilalui untuk menerapkan Tata Kelola TI
•
Inisiatif dan proyek tata kelola
216
Pihak direksi harus dapat mengarahkan inisiatif, menentukan peran utama personil proyek dan mendefinisikan tanggung jawab, serta memberikan dukungan dan komitmen. Seluruh pihak yang terlibat dalam proyek harus dapat memahami latar belakang inisiatif Tata Kelola TI dan menyusun tujuan bisnis untuk proyek penerapan Tata Kelola TI.
Rencana komunikasi
Ringkasan eksekutif Bagian ini akan mencakup seluruh hal yang berkaitan dengan rencana komunikasi proyek implementasi tata kelola TI di PT. Surveyor Indonesia seperti tinjauan rencana komunikasi, pihak yang dituju, tujuan komunikasi, informasi utama, pendekatan kepedulian, serta feedback dan kepedulian pengawasan.
Pendahuluan dan Latar Belakang Komunikasi yang baik sangat dibutuhkan dalam mendukung kelancaran dan keberhasilan sebuah proyek. Rencana komunikasi dalam proyek implementasi tata kelola TI ini bertujuan agar seluruh pihak yang terkait dalam proyek dapat terlibat, dan memiliki komitmen serta pengetahuan mengenai proyek implementasi tata kelola TI di PT. Surveyor Indonesia. Tinjauan rencana komunikasi Rencana komunikasi proyek diperlukan untuk mengkomunikasikan seluruh hal yang terkait dengan perencanaan dan pelaksanaan proyek implementasi tata kelola TI di PT. Surveyor Indonesia kepada pihak-pihak yang terlibat dalam proyek tersebut. Dengan demikian diharapkan dapat memperoleh kejelasan mengenai pekerjaan dan ekspektasi mereka, meningkatkan kepedulian dan memastikan bahwa seluruh pihak yang terlibat dapat ikut berkontribusi.
Pihak yang dituju Pihak yang dituju pada rencana komunikasi ini antara lain adalah :
217
1.
Tim Pelaksana Proyek Pertemuan rutin yang dilakukan dalam lingkup internal tim pelaksana proyek secara berkala dengan tujuan untuk melakukan pembagian tugas, koordinasi serta diskusi mengenai pekerjaan. Rapat internal umumnya diselenggarakan minimal 1 (satu) minggu sekali dalam bentuk berikut ini : a.
Briefing, berisi arahan-arahan manajer proyek maupun koordinator teknis kepada anggota tim pelaksana teknis. Briefing umumnya dilakukan secara rutin di setiap awal pekerjaan, misalnya setiap hari Senin pagi.
b.
Review meeting, berisi pelaporan dari masing-masing anggota tim teknis pelaksana mengenai perkembangan pekerjaan yang telah dilakukan. Dalam pertemuan ini dibahas pula masalah-masalah dan hambatan yang terjadi serta solusi maupun langkah pemecahannya. Review ini biasanya dilakukan secara rutin seminggu sekali pada hari Jumat.
Selain melalui rapat internal, komunikasi internal juga dapat dilakukan melalui mailing list untuk melakukan kolaborasi dalam setiap pelaksanaan pekerjaan, atau troubleshooting meeting yang diselenggarakan untuk mengatasi hambatan atau masalah yang cukup kritis. 2.
Stakeholder Komunikasi ini dilakukan melalui pertemuan antara tim pelaksana teknis dan pihak stakeholder sebagai pemilik proyek, yang dilakukan untuk kebutuhankebutuhan sebagai berikut : a.
Kick Off Meeting, yaitu pertemuan pada saat awal sebelum seluruh pekerjaan proyek dimulai, antara lain mencakup presentasi rencana kerja dan pembahasan untuk menyepakati ruang lingkup pekerjaan yang akan dilakukan.
b.
Pengumpulan data dan informasi yang diperlukan guna melakukan desain awal maupun diskusi konsep-konsep pengembangan dan hal-hal lain yang berkaitan dengan proyek.
c.
Review meeting, berbeda dengan review meeting yang dilakukan tim teknis pelaksana, pertemuan ini ditujukan lebih kepada pembahasan dan
218
persetujuan hasil pekerjaan dari setiap tahapan yang telah disepakati oleh kedua belah pihak. d.
Project
progress
meeting,
yang
bertujuan
untuk
memperoleh
kesepakatan bersama dan melakukan evaluasi kemajuan pelaksanaan kegiatan serta kendala-kendala serta permasalahan yang dihadapi sehinggan kedua belah pihak dapat mengetahui kondisi aktual dari proyek tersebut.
Tujuan komunikasi Tujuan utama komunikasi dalam proyek ini adalah menjaga kelancaran penyelenggaraan proyek dan mendukung keberhasilannya. Dengan melakukan komunikasi diharapkan para stakeholder yang terlibat dapat memperoleh gambaran mengenai proyek implementasi tata kelola TI serta kontribusi dan keterkaitannya dengan kebutuhan di lingkungan kerjanya. Dengan demikian diharapkan mereka dapat memberikan masukan-masukan yang positif pada saat berjalannya proyek. Komunikasi juga sangat diperlukan bagi tim proyek untuk memperoleh informasi mengenai tugas dan tanggung jawab mereka, melakukan koordinasi dan evaluasi, serta mengetahui kemajuan dan hambatan selama pelaksanaan proyek.
Informasi utama Informasi utama yang akan dikomunikasikan antara lain meliputi inisiasi proyek, perencanaan proyek, metode kerja yang digunakan dalam proyek, pembagian tugas, progress pelaksanaan proyek dan evaluasi hasil proyek.
Pendekatan kepedulian •
Pelatihan Pelatihan yang akan dilakukan antara lain pelatihan dan sertifikasi mengenai tata kelola TI secara umum, pelatihan mengenai audit TI, dan pelatihan COBIT. Pelatihan ditujukan untuk meningkatkan keahlian dan pengetahuan dari pihak pelaksana proyek. Penyelenggaraan pelatihan dapat dilakukan melalui kerjasama dengan pihak eksternal seperti ISACA Indonesia.
219
•
Publikasi Publikasi mengenai proyek akan disampaikan melalui mailing list internal perusahaan
yang
dibuat
khusus
untuk
tujuan
komunikasi
proyek
(
[email protected]) kepada seluruh pihak yang terlibat. •
Intranet Informasi mengenai tata kelola TI akan disampaikan melalui intranet dalam bentuk buletin online SPASI sehingga dapat diakses oleh seluruh pihak perusahaan.
•
Survei Survei awal akan dilakukan untuk mengetahui ekspektasi dan masukan dalam perencanaan dan pelaksanaan proyek. Survei berikutnya akan dilakukan pada akhir proyek sebagai bentuk evaluasi dari proyek tersebut.
Feedback dan kepedulian tentang pengawasan Selama berjalannya proyek seluruh pihak yang terlibat diharapkan dapat berkontribusi aktif dengan memberikan feedback dan melakukan pengawasan. Mekanisme feedback harus dilakukan dengan memperoleh respon atau saran ketika mengkomunikasikan arahan, tanggung jawab dan pencapaian. Pengawasan dilakukan dalam bentuk komunikasi seperti review meeting dan project progress meeting.
Permasalahan TI
Ringkasan eksekutif Bagian ini akan menjabarkan mengenai permasalahan yang dihadapi dalam melakukan proyek implementasi tata kelola TI, yaitu dalam hal pengelolaan operasi.
Pendahuluan dan Latar Belakang Permasalahan utama dalam pengelolaan TI di PT. Surveyor Indonesia adalah pengelolaan operasi. Hal tersebut diketahui berdasarkan hasil dari pengamatan management
awareness
dan
tingkat
kematangan
proses-proses
COBIT.
220
Permasalahan tersebut akan dapat dipecahkan apabila seluruh aspek mengenai permasalahan telah diketahui dengan baik.
Ringkasan dari tujuan bisnis Memastikan bahwa fungsi-fungsi dukungan TI telah dilakukan secara teratur dan berurutan, sehingga memungkinkan penyampaian informasi pada bisnis yang memerlukan kriteria informasi dan diukur oleh Key Goal Indicators. Hal tersebut memerlukan penjadwalan aktifitas-aktifitas pendukung yang direkam dan diselesaikan untuk pemenuhan seluruh aktifitas, serta mempertimbangkan Critical Success Factors yang mempengaruhi sumberdaya TI tertentu dan diukur melalui Key Performance Indicators.
Dampak pada TI a. Prosedur pengoperasian untuk seluruh solusi dan platform TI dan review secara berkala dapat memastikan efektifitas dan kesesuaian. b. Staf operasi telah mengenal dan tidak meragukan proses start-up dan operasi lainnya. c. Penjadwalan pekerjaan, proses dan tugas-tugas secara berkesinambungan telah diorganisasikan
ke
dalam
tahapan
yang
paling
efisien,
sehingga
memaksimalkan pemanfaatan dan keluaran untuk memenuhi tujuan yang ditetapkan dalam SLA. d. Prosedur dapat mengidentifikasi, menginvestigasi dan menyetujui pendekatan dari jadwal pekerjaan. e. Prosedur menyediakan penyerahan aktifitas, pembaharuan status dan pelaporan tanggung jawab yang ada. f. Kendali manajemen menjamin tersedianya informasi kronologis yang disimpan dalam log operasi untuk mendukung rekonstruksi, review dan pengujian tahapan waktu pemrosesan dan aktifitas lainnya yang mendukung atau menyertai pemrosesan. g. Terbentuknya pengamanan fisik yang sesuai dalam bentuk-bentuk tertentu, seperti instrumen yang bersifat fleksibel, dan dalam perangkat keluaran yang sensitif seperti cap tanda tangan, yang mempertimbangkan pembukuan
221
sumberdaya TI, form atau barang-barang yang memerlukan perlindungan khusus dan manajemen inventaris dengan baik. h. Prosedur yang spesifik untuk operasi jarak jauh memastikan bahwa sambungan dan pemutusan hubungan ke lokasi yang berjauhan telah didefinisikan dan diterapkan.
Pencapaian TI yang terkait a. Pengurangan yang terukur dalam keterlambatan dan penyimpangan dari jadwal. b. Penyelesaian yang terukur dari media keluaran yang dihasilkan dan disampaikan ke tujuan yang tepat. c. Pengukuran terhadap sumberdaya yang tersedia dengan tepat waktu dan sesuai jadwal. d. Pengurangan yang terukur terhadap kesalahan yang terkait dengan operasi. e. Berkurangnya jumlah kegagalan yang terjadwal dan tidak terjadwal akibat intervensi dalam operasi. f. Berkurangnya biaya operasi keseluruhan akibat kapasitas pemrosesan secara keseluruhan.
Kebutuhan utama TI a. Manual proseur operasi b. Dokumentasi proses start-up c. Pengelolaan layanan jaringan d. Pernjadwalan pekerjaan dan personil e. Proses pergantian shift f. Pencatatan kejadian-kejadian pada sistem g. Koordinasi dengan perubahan, ketersediaan, dan manajemen kesinambungan bisnis h. Perawatan preventif i. Kesepakatan tingkat layanan j. Operasi terotomasi k. Pencatatan, pelacakan dan eskalasi insiden
222
Proses-proses utama TI a. Pemrosesan prosedur operasi dan manual instruksi b. Dokumentasi proses start-up dan operasi lainnya c. Penjadwalan pekerjaan d. Pendekatan dari jadwal pekerjaan e. Kesinambungan pemrosesan f. Log operasi g. Form khusus pengamanan dan perangkat keluaran h. Operasi jarak jauh
Faktor sukses kritis untuk TI a. Instruksi operasi telah didefinisikan dengan baik, disesuaikan dengan standar yang telah disepakati, dan disertai dengan penetapan batas penghentian dan pengulangan. b. Terdapat derajat standarisasi operasi yang tinggi. c. Terdapat koordinasi langsung dengan proses-proses yang terkait, termasuk fungsi
manajemen
perubahan
dan
permasalahan,
serta
manajemen
ketersediaan dan kelangsungan. d. Terdapat derajat otomasi yang tinggi pada tugas-tugas operasi. e. Dilakukan rekayasa ulang pada proses-proses operasional untuk dapat berjalan secara efektif dengan menggunakan perangkat terotomasi. f. Rasionalisasi dan standarisasi perangkat manajemen sistem telah diterapkan. g. Penanganan masukan dan keluaran sedapat mungkin dibatasi untuk pengguna. h. Perubahan penjadwalan kerja dikendalikan secara ketat. i. Terdapat prosedur penerimaan yang ketat untuk penjadwalan pekerjaan yang baru, yang mencakup dokumentasi yang disampaikan. j. Skema perawatan yang bersifat preventif telah disiapkan. k. Telah dibuat prosedur pendeteksian, inspeksi dan eskalasi yang padat dan jelas.
Kepedulian TI yang memerlukan perhatian manajemen a. Penyampaian dan dukungan operasional TI
223
•
Kebutuhan bagi pengelolaan operasi secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi.
•
Operasi didukung melalui anggaran sumberdaya untuk pengeluaran modal dan sumberdaya manusia.
•
Manajemen
mengawasi
penggunaan
sumberdaya
komputer
dan
penyelesaian pekerjaan atau tugas yang telah ditetapkan. •
Tanggung jawab dukungan dan pengoperasian komputer didefinisikan dengan jelas dan kepemilikannya telah ditetapkan.
•
Jadwal
dan
tugas
pengoperasian
telah
didokumentasikan
dan
dikomunikasikan ke fungsi TI dan klien bisnis. •
Terdapat penyesuaian penuh dengan permasalahan dan proses manajemen ketersediaan, dengan didukung oleh analisis penyebab kegagalan dan error.
b. Pengawasan fungsi dan pencapaian TI •
Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan operasi.
•
Penyimpangan dari norma-norma yang ada diselesaikan dan dikoreksi dengan cepat.
•
Terdapat upaya untuk meningkatkan tingkat otomasi proses sebagai alat untuk memastikan peningkatan secara kontinu.
•
Terdapat penyesuaian penuh dengan permasalahan dan proses manajemen ketersediaan, dengan didukung oleh analisis penyebab kegagalan dan error.
•
Pengukuran dan pengawasan aktifitas harian dapat dilakukan dengan tingkat layanan dan kesepakatan kinerja yang telah distandarisasi.
Resiko TI
Ringkasan eksekutif Bagian ini akan membahas mengenai resiko-resiko TI yang mungkin dihadapi pada saat melaksanakan proyek implementasi tata kelola TI.
224
Pendahuluan dan Latar Belakang Analisa resiko TI mencakup analisa mengenai kriteria informasi dan sumberdaya TI dari pendekatan resiko atau preservasi nilai. Pemahaman mengenai nilai dan pengendali resiko umumnya difokuskan pada proses-proses kritis TI untuk memastikan bahwa tujuan TI telah dicapai. COBIT sebagai standar yang digunakan dalam implementasi tata kelola TI dapat memberikan kebijakan yang jelas dan pedoman yang baik untuk tata kelola TI perusahaan yang membantu pihak manajemen dalam memahami dan mengelola resiko yang terkait dengan TI.
Ringkasan dari tujuan bisnis Pihak eksekutif PT. Surveyor Indonesia telah melihat proyek implementasi tata kelola TI sebagai sesuatu yang memiliki peranan cukup signifikan terhadap tercapainya tujuan bisnis perusahaan. Pencapaian tujuan bisnis tersebut dicapai antara lain dengan meningkatkan pemahaman mengenai resiko-resiko TI dalam pelaksanaan proyek implementasi TI yang dapat berpengaruh terhadap tujuan bisnis.
Dampak pada TI Pelaksanaan proyek implementasi tata kelola TI dapat berdampak pada mundurnya jadwal penyelesaian proyek, membengkaknya biaya yang dibutuhkan atau kualitas keluaran yang tidak sesuai dengan harapan.
Pencapaian TI yang terkait a. Meningkatnya
tingkat
kepedulian
akan
kebutuhan
penilaian
resiko
pengelolaan operasi. b. Berkurangnya jumlah insiden yang disebabkan oleh keterlambatan identifikasi resiko. c. Meningkatnya jumlah resiko teridentifikasi yang telah berhasil dimitigasi. d. Meningkatnya jumlah proses-proses TI yang telah dilengkapi dengan penilaian resiko yang terdokumentasi secara formal. e. Jumlah atau persentase tepat dari ukuran penilaian resiko yang sesuai dengan biaya.
225
Posisi penerimaan resiko di pihak manajemen Penerimaan resiko memerlukan dukungan dan komitmen dari pihak manajemen yang terlibat dalam proyek implementasi tata kelola TI. Manajemen harus mempertimbangkan seluruh resiko yang mungkin mengakibatkan hasil/keluaran proyek tidak sesuai dengan ekspektasi mereka.
Profil resiko TI a. Temuan audit Hasil temuan audit yang dilakukan mengindikasikan ekspektasi manajemen yang sangat tinggi terhadap sebagian besar proses-proses TI yang diamati. Hal ini tentunya dapat berdampak pada tingginya resiko apabila pada prosesproses tersebut tidak berhasil diimplementasikan dalam proyek. b. Insiden di masa lalu Masih terdapat kesenjangan pemahaman antara pihak eksekutif dan manajemen TI di PT. Surveyor Indonesia dalam hal resiko implementasi tata kelola TI. c. Kepedulian resiko Perbedaan persepsi mengenai resiko menyebabkan menurunnya tingkat kepedulian pihak eksekutif terhadap resiko implementasi tata kelola TI. Mereka cenderung menganggap bahwa resiko implementasi tata kelola TI merupakan suatu konsekuensi yang harus ditanggung tanpa memikirkan upaya-upaya lebih lanjut dalam melakukan manajemen resiko. d. Respon terhadap resiko Meningkatkan pemahaman mengenai resiko-resiko TI dalam pelaksanaan proyek implementasi TI yang dapat berpengaruh terhadap tujuan bisnis perusahaan.
Resiko operasional a.
Kompleksitas dari lingkungan TI Hambatan teknologi atau dukungan infrastruktur di lingkungan TI dapat menjadi sebuah hambatan dan memperbesar resiko operasional yang harus dihadapi.
226
b.
Organisasi TI Isu-isu kultural di organisasi TI seringkali memiliki potensi yang besar dalam menciptakan resiko operasional.
c.
Kapabilitas operasional Sebagian besar operator yang bertugas dalam menjalankan operasional sistem telah memiliki pengalaman dalam mengoperasikan sistem, sehingga resiko mengenai kapabilitas operasional dapat diminimalisir.
d.
Tingkat respon terhadap perubahan Perubahan manajemen perusahaan seringkali berdampak pada berkurangnya kepedulian dan tingkat respon terhadap perubahan dalam resiko operasional.
e.
Penyedia layanan, kontraktor, dan fungsi-fungsi yang dioutsource Penyerahan sebagian tanggung jawab pengoperasian yang memerlukan keahlian spesifik pada penyedia layanan atau kontraktor tertentu dapat memperbesar resiko operasional yang harus dihadapi.
Resiko proyek a.
Kapabilitas manajemen proyek Kemampuan manajemen proyek PT. Surveyor Indonesia telah terbukti melalui pengalaman dan kesuksesannya dalam melakukan berbagai proyek survei dan konsultansi, sehingga resiko proyek yang muncul dari segi kapabilitas manajemen proyek dapat diminimalisir sekecil mungkin.
b.
Kapabilitas delivery proyek Kapabilitas delivery proyek implementasi tata kelola TI sangat bergantung pada komitmen, konsesus dan kesepakatan bersama yang harus disetujui untuk dilaksanakan secara bersama-sama antara pihak pelaksana proyek dan pihak stakeholder. Tahapan seperti review, koreksi dan penyempurnaan dari setiap delivery proyek diperlukan untuk meminimalisir resiko yang dihadapi.
c.
Portfolio proyek Portfolio proyek implementasi TI akan disusun berdasarkan skala prioritas kebutuhan proses dan tingkat kematangan pada saat melakukan pengamatan. Proyek implementasi kali ini merupakan kelanjutan dari roadmap rencana
227
implementasi TI sebelumnya yang tercantum dalam Master Plan TI PT. Surveyor Indonesia dengan fokus kepada proses pengelolaan operasi.
228
Capability Worksheet—Status as-is untuk Proses DS13
Kepedulian dan
Kebijakan, standar dan
komunikasi
prosedur
Perangkat dan otomasi
Keahlian dan
Tanggung jawab dan
Penentuan dan
kepakaran
akuntabilitas
pengukuran pencapaian
Organisasi menyadari
Tidak ada prosedur
Komputer yang
Belum ada dalam
Tanggungjawab
Tujuan
kebutuhan untuk
standar dan aktifitas
mendukung proses
perencanaan adanya
manajemen operasi
pengelolaan operasi
menstrukturkan fungsi
operasi bersifat reaktif.
bisnis seringkali
pelatihan dalam
masih tidak jelas
belum jelas dan
dukungan TI.
Sebagian besar operasi
terganggu, tertunda atau
mengelola operasi dan dan belum
tidak terjadwal secara
tidak tersedia.
belum ada pelatihan
didefinisikan.
formal dan permintaan
Sistem tidak stabil atau
formal dilakukan
Tanggungjawab
pemrosesan diterima
tidak tersedia dan
dilakukan secara
tanpa melakukan validasi.
media keluaran
reaktif dan atas
Waktu akan terbuang
terkadang muncul
dasar inisiatif
ketika pegawai
secara tidak diharapkan
perorangan.
menunggu tersedianya
atau tidak muncul sama
sumberdaya.
sekali.
belum ada pengukuran.
229
Capability Worksheet—Status to-be untuk Proses DS13
Kepedulian dan
Kebijakan, standar dan
komunikasi
prosedur
Perangkat dan otomasi
Keahlian dan
Tanggung jawab dan
Penentuan dan
kepakaran
akuntabilitas
pengukuran pencapaian
Kebutuhan bagi
Penyimpangan dari
Manajemen mengawasi
Pelatihan telah
Tanggung jawab
Terdapat penyesuaian
Pengelolaan operasi
norma-norma yang ada
penggunaan
dijalankan dan
dukungan dan
penuh dengan
secara utuh telah
diselesaikan dan
sumberdaya komputer
diformalkan, sebagai
pengoperasian
permasalahan dan
dipahami dan tindakan
dikoreksi dengan cepat.
dan penyelesaian
bagian dari
komputer didefinisikan
proses manajemen
yang diperlukan sudah
Terdapat kesepakatan
pekerjaan atau tugas
pengembangan karir.
dengan jelas dan
ketersediaan, dengan
diterima secara luas di
layanan dan perawatan
yang telah ditetapkan.
kepemilikannya
didukung oleh analisis
organisasi. Secara
formal dengan vendor.
Terdapat upaya untuk
ditetapkan.
penyebab kegagalan
berkala diadakan forum
Operasi didukung melalui
meningkatkan tingkat
Jadwal dan tugas telah
dan error.
internal perusahaan
anggaran sumberdaya
otomasi proses sebagai
didokumentasikan dan
Pengukuran dan
untuk dapat mencari
untuk pengeluaran modal
alat untuk memastikan
dikomunikasikan ke
pengawasan aktifitas
solusi bersama atas
dan sumberdaya manusia.
peningkatan secara
fungsi TI dan klien
harian dapat dilakukan
kontinu.
bisnis.
dengan tingkat layanan
permasalahan yang timbul dalam
dan kesepakatan
pengelolaan operasi.
kinerja yang telah distandarisasi.
230
Scorecard untuk Kapabilitas Kematangan proses Kematangan kapabilitas Proses TI Initial Delivery and Support DS1 Mendefinisikan dan mengelola tingkat layanan DS2 Mengelola layanan pihak ketiga DS3 Mengelola kinerja dan kapasitas DS4 Memastikan layanan yang berkelanjutan DS5 Memastikan keamanan sistem DS6 Melakukan identifikasi dan alokasi biaya DS7 Mendidik dan melatih pengguna DS8 Mendampingi dan memberikan saran kepada pengguna DS9 Mengelola konfigurasi DS10 Mengelola permasalahan dan insiden DS11 Mengelola data DS12 Mengelola fasilitas DS13 Mengelola operasi Monitoring M1 Melakukan pengawasan proses M2 Menilai ketersediaan kontrol internal M3 Memperoleh jaminan independen M4 Melakukan audit independen
Repeatable
Defined
Managed
Optimised
231
Matriks Atribut Kematangan pada Proses Mendefinisikan dan Mengelola Tingkat Layanan (DS1) Kepedulian dan komunikasi
Kebijakan, standar dan prosedur
Perangkat dan otomasi
0
Pihak manajemen belum menyadari pentingnya proses untuk mendefinisikan tingkat layanan
Tidak ada kebijakan, standar dan prosedur dalam mendefinisikan dan mengelola tingkat layanan
Tidak ada perangkat dan otomasi dalam mendefinisikan dan mengelola tingkat layanan
1
Telah ada kepedulian untuk mengelola tingkat layanan, namun prosesnya masih bersifat informal dan reaktif
Menggunakan pendekatan ad hoc untuk mendefinisikan dan mengelola tingkat layanan, namun belum menggunakan prosedur dengan pendekatan formal.
2
Adanya kesadaran akan kebutuhan mendefinisikan dan mengelola tingkat layanan untuk segera ditindaklanjuti.
Terdapat SLA yang telah disepakati, namun bersifat informal dan hanya dipakai sekali saja.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat pengelolaan tingkat layanan. Telah digunakannya perangkat untuk mendefinisikan dan mengelola tingkat layanan sebagai solusi yang
Keahlian dan kepakaran Tidak ada pelatihan untuk memperoleh pengetahuan dan keahlian dalam mendefinisikan dan mengelola tingkat layanan Belum ada perencanaan untuk melakukan pelatihan dalam mengelola tingkat layanan.
Pelaporan tingkat layanan tidak lengkap, tidak relevan atau tidak memiliki arahan dan bergantung pada
Tanggung jawab dan akuntabilitas
Penentuan dan pengukuran pencapaian Tidak ada tanggung Tidak ada jawab dan kebijakan pencapaian dalam yang ditetapkan mendefinisikan dan dalam melakukan mengelola tingkat pengawasan terhadap layanan proses Tanggung jawab dan akuntabilitas untuk mengawasi kinerja didefinisikan secara informal
Pengukuran kinerja bersifat kualitatif, pencapaian didefinisikan secara tidak tepat. Pelaporan kinerja jarang dilakukan dan tidak konsisten.
Seorang koordinator tingkat layanan dipilih dengan tanggung jawab yang jelas, namun tidak memiliki otoritas
Proses kesesuaian dengan SLA bersifat sukarela dan tidak mengikat.
232
3
Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan mendefinisikan dan mengelola tingkat layanan. Adanya pemahaman akan kebutuhan mendefinisikan dan mengelola tingkat layanan. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses mendefinisikan dan mengelola tingkat layanan.
Kriteria tingkat layanan telah didefinisikan dan disetujui dengan user, melalui peningkatan taraf standarisasi. Proses pengembangan SLA sejalan dengan tujuan untuk menilai tingkat layanan dan kepuasan pelanggan.
dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahlian nya dan dibantu oleh vendor.
keahlian dan inisiatif dari masing-masing manajer.
yang cukup.
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam mendefinisikan dan mengelola tingkat layanan. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
Hubungan antara dana yang tersedia dan tingkat layanan yang diharapkan ditingkatkan secara formal.
Tanggung jawab telah didefinisikan dengan baik, namun dengan otoritas yang tidak mengikat.
Tingkat layanan lebih didasarkan pada perbandingan industri dan terkadang tidak mengacu pada kebutuhan spesifik organisasi. Penurunan tingkat layanan dapat diidentifikasi, namun perencanaan resolusi masih bersifat informal.
233
4
Kebutuhan bagi mendefinisikan dan mengelola tingkat layanan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam mendefinisikan dan mengelola tingkat layanan.
Tingkat layanan lebih didefinisikan dalam tahap pendefinisian kebutuhan sistem dan digabungkan dalam desain aplikasi dan lingkungan operasional. Analisis akar permasalahan dilakukan apabila tingkat layanan tidak terpenuhi.
Sistem pelaporan untuk mengawasi tingkat layanan menjadi lebih terotomasi.
5
Kebutuhan mendefinisikan dan mengelola tingkat layanan dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima
Kriteria untuk mendefinisikan tingkat layanan didasarkan pada kebutuhan utama bisnis dan mencakup ketersediaan, kehandalan, kinerja, kapasitas pertumbuhan,
Tingkat layanan dievaluasi kembali secara kontinu untuk memastikan kesesuaian antara TI dan tujuan bisnis, dengan tetap memanfaatkan
Kebutuhan skill secara rutin diupdate untuk seluruh proses mendefinisikan dan mengelola tingkat layanan untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait mendefinisikan dan mengelola tingkat layanan telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Seluruh proses tingkat layanan mengarah pada proses peningkatan yang berkelanjutan. Mengikuti forum berskala nasional
Resiko finansial dan operasional yang terkait dengan tidak terpenuhinya tingkat layanan yang disepakati telah didefinisikan dan dipahami secara jelas.
Kepuasan pelanggan diukur dan dinilai secara rutin. Pengukuran kinerja lebih mencerminkan kebutuhan pengguna akhir daripada pencapaian TI saja. Kriteria pengukuran tingkat layanan pengguna telah distandarisasi dan merefleksikan norma-norma industri. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Manajemen TI memiliki sumberdaya dan akuntabilitas yang dibutuhkan untuk memenuhi sasaran kinerja tingkat layanan, kompensasi
Tingkat layanan yang diharapkan dievaluasi terhadap norma-norma industri, tetapi juga mencerminkan pencapaian strategis yang spesifik pada
234
di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif.
dukungan pengguna, perencanaan kelangsungam dan pertimbangan keamanan.
keunggukan teknologi dan peningkatan dalam rasio harga/kinerja produk.
maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mendefinisikan dan mengelola tingkat layanan yang juga merupakan peluang pengembangan kedepan.
eksekutif distrukturkan untuk memberikan insentif bagi pemenuhan pencapaian organisasi.
unit-unit bisnis. Manajemen senior mengawasi ukuran kinerja sebagai bagian dari proses perkembangan yang berkelanjutan.
235
Matriks Atribut Kematangan pada Proses Mengelola Layanan Pihak Ketiga (DS2) Kepedulian dan komunikasi
Kebijakan, standar dan prosedur
0
Layanan pihak ketiga tidak disetujui atau direview oleh pihak manajemen.
Tidak ada kebijakan dan prosedur formal mengenai pelaksanaa kontrak dengan pihak ketiga.
1
Manajemen perduli terhadap kebutuhan untuk mendokumentasikan kebijakan dan prosedur untuk pengadaan layanan pihak ketiga, termasuk penandatanganan kontrak. Adanya kesadaran akan kebutuhan pengelolaan layanan pihak ketiga untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat
Tidak ada standar untuk kesepakatan. Menggunakan pendekatan ad hoc untuk mengelola layanan pihak ketiga, namun belum menggunakan prosedur dengan pendekatan formal. Proses untuk mengelola layanan pihak ketiga dan pemberian layanan bersifat informal. Berkas kontrak yang ditandatangani digunakan bersama
2
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Keberadaan obligasi kontrak untuk pelaporan tidak membuat pihak manajemen senior peduli terhadap kualitas layanan yang diberikan. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software perangkat pengelolaan layanan pihak ketiga. Laporan telah tersedia namun tidak mendukung tujuan bisnis. Telah digunakannya perangkat untuk membantu proses pengelolaan layanan
Tidak ada upaya pelatihan atau peningkatan kepakaran dalam mengelola layanan pihak ketiga. Belum ada dalam perencanaan adanya pelatihan dalam mengelola layanan pihak ketiga dan belum ada pelatihan formal dilakukan
Tanggung jawab dan akuntabilitas tidak didefinisikan.
Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola layanan pihak ketiga. Pelatihan
Kepemilikan dan Pengukuran telah tanggungjawab atas dilakukan namun pengelolaan layanan tidak secara relevan. pihak ketiga secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan
Pelaksanaan bergantung pada pengalaman individu dan efektivitas komersial pihak supplier.
Penentuan dan pengukuran pencapaian Tidak ada kegiatan pengukuran ataupun pelaporan dari pihak ketiga.
Pengukuran layanan yang tersedia bersifat informal dan reaktif.
236
3
mengkomunikasikan permasalahan terkait dengan pengelolaan layanan pihak ketiga.
dengan kesepakatan vendor standar dan deskripsi layanan yang akan diberikan
pihak ketiga sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor.
Adanya pemahaman akan kebutuhan pengelolaan layanan pihak ketiga. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses pengelolaan layanan pihak ketiga.
Persetujuan kontrak didasarkan pada standar yang berlaku. Prosedur yang telah terdokumentasi dengan baik digunakan untuk mengelola pengadaan pihak ketiga, disertai dengan proses yang jelas untuk memastikan pemilihan dan negosiasi yang baik dengan vendor. Hubungan dengan pihak ketiga hanya bersifat kontraktual. Penjelasan mengenai layanan yang diberikan dirinci dalam kontrak dan mencakup
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam pengelolaan layanan pihak ketiga Telah digunakan beberapa perangkat namun masih belum terintegrasi.
dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
terkait dengan pengelolaan layanan pihak ketiga, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan Kebutuhan keahlian Tanggung jawab dalam mengelola pengelolaan untuk layanan pihak layanan pihak ketiga ketiga telah telah disepakati. diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Resiko bisnis yang terkait dengan kontrak dinilai dan dilaporkan.
237
4
Kebutuhan didefinisikan dan dihubungkan dengan tujuan bisnis. Seluruh pihak yang terlibat memiliki kepedulian terhadap ekspektasi layanan, biaya dan sasaran.
5
Kebutuhan pengelolaan layanan
kebutuhan operasional, legal dan kendali. Kriteria formal dan terstandarisasi dibuat untuk mendefinisikan lingkup kerja, layanan yang akan diberikan, asumsi, penyampaian, skala waktu, harga, pengaturan pembiayaan, tanggung jawab, dan kesepakatan bisnis. Proses ditujukan untuk mereview kinerja layanan terhadap kesepakatan kontrak, menyediakan masukan bagi pemberian layanan pihak ketiga saat ini dan yang akan datang.
Kontrak yang ditandatangani
Beberapa perangkat seperti model pembiayaan transfer telah digunakan dalam proses pengadaan layanan pihak ketiga.
Perangkat yang canggih digunakan dengan
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan layanan pihak ketiga untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan layanan pihak ketiga telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. Pihak ketiga bergantung pada
Tanggung jawab untuk manajemen kontrak dan vendor telah ditetapkan. Kualifikasi dan kapabilitas vendor telah diverifikasi.
Indikator pencapaian tujuan dan kinerja telah disepakati pengguna dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan layanan pihak ketiga. Perbaikan secara berkelanjutan pada proses pengelolaan layanan pihak ketiga dilakukan.
Tanggung jawab untuk jaminan
Pengukuran yang terpilih bervariasi
238
pihak ketiga dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam pengelolaan layanan pihak ketiga yang juga merupakan peluang pengembangan kedepan.
bersama direview secara periodik setelah pekerjaan dimulai. Bukti kepatuhan terhadap kebutuhan kontrak operasional, legal dan kendali dimonitor dan tindakan korektif telah dilaksanakan. Pelaporan yang didefinisikan dan komprehensif terkait dengan proses kompensasi pihak ketiga. Pelaporan memberikan peringatan awal atas permasalahan potensial untuk memfasilitasi resolusi secara berkala.
otomasi pengelolaan layanan pihak ketiga secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
review periodik secara independen, dengan masukan yang berasal dari review. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan skill secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk pengelolaan layanan pihak ketiga telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar
kualitas pemberian layanan dan dukungan vendor telah disepakati.
secara dinamis sebagai respon terhadap kondisi bisnis yang berubahubah. Pengukuran mendukung deteksi awal permasalahan.
239
dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
240
Matriks Atribut Kematangan pada Proses Mengelola Kinerja dan Kapasitas (DS3) Kepedulian dan komunikasi 0
1
2
Kebijakan, standar dan prosedur
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Tidak ada pelatihan untuk memperoleh pengetahuan dan keahlian dalam mengelola kinerja dan kapasitas. Belum ada dalam perencanaan adanya pelatihan dalam mengelola kinerja dan kapasitas dan belum ada pelatihan formal dilakukan.
Tidak ada akuntabilitas dan tanggungjawab dalam mengelola kinerja dan kapasitas. Pengguna seringkali harus berupaya untuk mengatasi batasan kinerja dan kapasitas.
Konsistensi hasil bergantung pada keahlian dari personil utama.
Permasalahan ketersediaan umumnya terjadi dengan tidak diharapkan dan secara acak serta membutuhkan waktu lama untuk
Manajemen belum menyadari bahwa proses bisnis utama dapat memerlukan kinerja optimal dari TI. Manajemen TI memiliki kepedulian terhadap pengelolaan kinerja dan kapasitas, namun tindakan yang diambil biasanya bersifat reaktif atau tidak lengkap.
Tidak ada proses perencanan kapasitas yang sesuai.
Tidak adanya perangkat untuk mengelola kinerja dan kapasitas.
Proses perencanaan bersifat informal. Manajemen kinerja dan kapasitas bersifat reaktif dan tidak teratur.
Manajemen bisnis perduli terhadap dampak dari kinerja dan kapasitas yang tidak terkelola.
Untuk bagian-bagian yang penting, kebutuhan kinerja umumnya telah terpenuhi berdasarkan penilaian sistem individual dan pengetahuan mengenai
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software pengelolaan kinerja dan kapasitas. Beberapa perangkat individual dapat digunakan untuk mendiagnosa permasalahan kinerja dan kapasitas.
Penentuan dan pengukuran pencapaian Seluruh kebutuhan bisnis untuk layanan TI dapat melebihi kapasitas.
Pemilik proses bisnis memberikan sangat sedikit penghargaan atas layanan TI.
Tidak ada penilaian secara menyeluruh terhadap kemampuan kinerja infrastruktur atau pertimbangan terhadap situasisituasi terburuk.
241
dukungan dan tim proyek.
mendiagnosa dan memperbaikinya.
3
Adanya pemahaman akan kebutuhan mengelola kinerja dan kapasitas. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses mengelola kinerja dan kapasitas.
Kebutuhan kapasitas dan kinerja didefinisikan sebagai langkah-langkah yang akan diambil pada seluruh metodologi tahapan perolehan dan pengoperasian awal sistem.
Pemodelan dan prediksi kebutuhan kinerja yang akan datang dimungkinkan untuk dilakukan. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam sistem pengelolaan kinerja dan kapasitas. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
Kebutuhan keahlian dalam mengelola kinerja dan kapasitas telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
Pengguna akhir akan merasa skeptis mengenai kapabilitas layanan diluar tingkat layanan yang dipublikasikan. Permasalahan masih sering terjadi dan membutuhkan banyak waktu untuk memperbaikinya.
Laporan dapat menunjukkan satistik kinerja. Terdapat metrik dan kebutuhan tingkat layanan terdefinisi yang dapat digunakan untuk mengukur kinerja operasional.
4
Kebutuhan bagi pengelolaan kinerja dan kapasitas secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara
Insiden yang disebabkan oleh kegagalan kinerja dan kapasitas terkait dengan prosedur yang terstandarisasi dan terdefinisi.
Proses dan perangkat tersedia untuk mengukur penggunaan sistem dan membandingkannya dengan tingkat layanan yang
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi. Pelatihan
Tanggungjawab dan kepemilikan pada pengelolaan kinerja dan kapasitas didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi.
Terdapat beberapa upaya untuk melaporkan statistik kinerja dalam proses bisnis, sehingga pengguna akhir dapat memahami tingkat layanan TI.
242
berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan kinerja dan kapasitas.
5
Perencanaan kinerja dan kapasitas telah tersinkronisasi dengan prediksi bisnis dan perencanaan serta tujuan operasional.
Infrastruktur TI ditujukan terhadap review rutin untuk memastikan bahwa kapasitas optimal dapat dicapai dengan biaya yang serendah mungkin. Peningkatan dalam teknologi terus dimonitor untuk memperoleh manfaat
didefinisikan. Perangkat terotomasi digunakan untuk mengawasi sumberdaya spesifik seperti disk penyimpanan, server jaringan dan network gateways.
formal terhadap staf terkait pengelolaan kinerja dan kapasitas telah dilakukan sesuai dengan rencana dan sharing pengetahuan dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
Perangkat untuk mengawasi sumberdaya TI utama telah distandarisasi, jika dimungkinkan diterapkan pada platform yang berbeda dan terhubung pada sebuah sistem pengelolaan insiden organisasi.
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan
Pengguna mengharapkan ketersediaan penuh selama 24x7x365 jam. Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik
Informasi yang up to date selalu tersedia, memberikan statistik kinerja yang terstandarisasi dan memberitahukan terjadinya insiden seperti kekurangan dalam kapasitas atau hasil. Pengguna umumnya merasa terpuaskan dengan kapabilitas layanan saat ini dan menginginkan tingkat ketersediaan yang baru dan meningkat. Metrik untuk mengukur kinerja TI telah disesuaikan untuk memfokuskan pada area utama dan diterjemahkan ke dalam KGI, KPI dan CSF untuk seluruh proses bisnis utama. Kecenderungan yang terdeteksi menunjukkan
243
dari peningkatan kinerja produk.
Perangkat pengawasan dapat lebih mendeteksi dan secara otomatis memperbaiki permasalahan kinerja, seperti mengalokasikan ruang penyimpanan atau melakukan routing ulang pada traffic jaringan.
konsep dan teknik terkini. Pelatihan untuk pengelolaan kinerja dan kapasitas telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
terdapatnya permasalahan kinerja yang disebabkan oleh peningkatan volume bisnis, yang memungkinkan dilakukannya perencanaan dan penanggulangan insiden yang tidak diharapkan.
244
Matriks Atribut Kematangan pada Proses Memastikan Layanan yang Berkelanjutan (DS4) Kepedulian dan komunikasi 0
1
Tidak ada pemahaman mengenai resiko, kerentanan dan ancaman terhadap operasi-operasi TI atau dampak tidak adanya layanan TI pada bisnis. Kesinambungan layanan tidak dianggap memerlukan perhatian manajemen. Manajemen perduli terhadap resiko yang terkait dan kebutuhan akan layanan yang berkesinambungan.
Kebijakan, standar dan prosedur
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Tidak ada kebijakan, standar dan prosedur untuk memastikan layanan yang berkelanjutan.
Tidak adanya perangkat untuk memastikan layanan yang berkelanjutan.
Tidak ada pelatihan untuk memastikan layanan yang berkelanjutan.
Tidak ada tanggungjawab dan akuntabilitas dalam memastikan layanan yang berkelanjutan.
Penentuan dan pengukuran pencapaian Tidak ada penentuan dan pengukuran pencapaian untuk memastikan layanan yang berkelanjutan.
Fokus lebih diarahkan kepada fungsi TI daripada fungsi bisnis. Prediksi gangguan telah dijadwalkan untuk memenuhi kebutuhan TI, bukan hanya sebatas mengakomodasi kebutuhan bisnis. Respon terhadap gangguan bersifat
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat dalam bentuk software.
Pengguna menerapkan pola pelaksanaan pekerjaan. Belum ada dalam perencanaan adanya pelatihan dan belum ada pelatihan formal yang dilakukan.
Tanggung jawab untuk kesinambungan layanan bersifat informal, dengan otoritas yang terbatas.
Belum ada penentuan dan pengukuran pencapaian yang jelas untuk memastikan layanan yang berkelanjutan.
245
2
Adanya kesadaran akan kebutuhan layanan yang berkesinambungan untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan proses memastikan layanan yang berkesinambungan.
3
Manajemen mengkomunikasikan kebutuhan akan layanan yang berkelanjutan secara konsisten.
reaktif dan tanpa persiapan. Pendekatan terhadap layanan yang berkesinambungan masih terpisah-pisah. Standarisasi pelaksanaan dan pengawasan layanan yang berkesinambungan mulai dilakukan, namun keberhasilannya masih bergantung pada individu.
Rencana telah terdokumentasi dan didasarkan pada kepentingan sistem dan dampak bisnis. Terdapat pelaporan periodik mengenai pengujian layanan yang berkelanjutan.
Telah terdapat inventaris sistem dan komponen utama yang handal.
Tidak ada pengguna atau rencana kelanjutan yang terdokumentasi, meskipun terdapat komitmen atas ketersediaan layanan secara berkesinambungan dan prinsip-prinsip utamanya telah diketahui.
Tanggung jawab untuk layanan yang berkesinambungan telah ditetapkan.
Pelaporan mengenai ketersediaan sistem tidak lengkap dan tidak mempertimbangkan dampak bisnis.
Sebagian komponen yang memiliki ketersediaan tinggi dan redundansi sistem telah diterapkan. Inventaris sistem dan komponen utama dijaga secara ketat.
Individu mengambil inisiatif untuk mengikuti standar berikutnya dan menerima pelatihan.
Akuntabilitas tidak jelas dan tanggung jawab untuk perencanaan dan pengujian yang berkesinambungan telah didefinisikan dan ditetapkan dengan jelas.
Beberapa tujuan dan pengukuran dalam memastikan layanan yang berkesinambungan telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan
246
4
Kebutuhan untuk memastikan layanan yang berkesinambungan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul.
Pelaksanaan redundansi dan pengaruh perencanaan layanan secara kontinu saling mempengaruhi satu sama lain
Pelaksanaan redundansi sistem, termasuk penggunaan komponen yang banyak tesedia telah dilakukan secara konsisten. Data yang terstruktur mengenai layanan yang berkesinambungan telah didapatkan, dianalisa, dilaporkan, dan diterapkan.
Pelatihan disediakan untuk proses layanan yang berkelanjutan.
Tanggung jawab dan standar untuk layanan yang berkelanjutan telah diterapkan. Tanggung jawab untuk menjaga kesinambungan layanan telah ditetapkan.
tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja utama. Pengawasan telah dilakukan. Aktivitas perawatan mempertimbangkan perubahan lingkungan bisnis, hasil dari pengujian layanan yang berkesinambungan, serta hasil dari pengujian layanan yang berkelanjutan dan pelaksanaan internal terbaik. Insiden ketidaksinambungan telah diklasifikasikan dan arah peningkatan untuk setiap insiden telah diketahui oleh seluruh pihak yang
247
5
Manajemen tidak mentolerir segala jenis kesalahan dan memberikan dukungan untuk mengantisipasinya. Pelaksanaan eskalasi telah dipahami dan diterapkan dengan baik.
Efektivitas biaya layanan berkesinambungan dioptimalkan melalui inovasi dan integrasi. Perencanaan layanan berkesinambungan dan rencana kelangsungan bisnis telah terintegrasi, disesuaikan, dan dijaga secara rutin. Pembelian untuk kebutuhan layanan berkelanjutan dirahasiakan dari vendor dan supplier utama. Pelaksanaan redundansi dan perencanaan layanan berkesinambungan telah disesuaikan sepenuhnya.
Pengumpulan dan analisa data digunakan untuk mengidentifikasi peluang peningkatan.
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
Tanggung jawab ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
terlibat. Terdapat pengujian keseluruhan dan hasil pengujian dimasukkan sebagai bagian dari proses maintenance. Proses-proses layanan yang berkesinambungan dan terintegrasi bersifat proaktif, adaptif, terotomasi dan dapat menganalisa dirinya sendiri serta mempertimbangkan benchmarking dan pelaksanaan eksternal terbaik.
248
Matriks Atribut Kematangan pada Proses Memastikan Keamanan Sistem (DS5) Kepedulian dan komunikasi
Kebijakan, standar dan prosedur
Perangkat dan otomasi
0
Organisasi tidak menyadari pentingnya keamanan TI.
1
Organisasi menyadari kebutuhan untuk keamanan TI, namun kepedulian keamanan tergantung pada individu.
Tidak ada pelaporan keamanan TI dan tidak ada proses respon terhadap kegagalan keamanan TI. Terdapat kekurangan yang signifikan atas proses administrasi keamanan sistem yang diketahui. Respon terhadap kegagalan kemanan TI tidak dapat diprediksi.
2
Kepedulian keamanan terpisah-pisah dan terbatas.
Kebijakan keamanan telah diuapayakan untuk dikembangkan. Informasi keamanan TI telah dihasilkan, namun
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Penentuan dan pengukuran pencapaian Pengukuran dukungan manajemen keamanan TI tidak diterapkan.
Tidak adanya perangkat untuk memastikan keamanan sistem.
Tidak ada pelatihan untuk memastikan keamanan sistem.
Tanggung jawab dan akuntabilitas tidak ditetapkan untuk memastikan keamanan.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software tertentu. Perangkat yang digunakan masih belum mencukupi.
Belum ada dalam perencanaan adanya pelatihan dalam memastikan keamanan sistem dan belum ada pelatihan formal yang dilakukan.
Kegagalan keamanan TI yang terdeteksi melibatkan penunjukkan tanggung jawab, karena tanggung jawab tidak jelas.
Keamanan TI ditujukan atas dasar reaktif dan tidak terukur.
Keahlian masih belum mencukupi. Solusi keamanan cenderung merespon insiden
Tanggung jawab dan akuntabilitas untuk keamanan TI dibebankan pada seorang koordinator
Pelaporan keamanan TI tidak lengkap, tidak terarah atau tidak saling berhubungan.
249
tidak dianalisa.
3
Telah terdapat kepedulian keamanan dan dipromosikan oleh manajemen. Briefing untuk kepedulian keamanan telah distandarisasi dan diformalisasi.
Prosedur keamanan TI telah didefinisikan dan disesuaikan ke dalam struktur untuk prosedur dan kebijakan keamanan. Telah terdapat rencana keamanan TI, analisis resiko yang terarah, dan solusi keamanan. Pengujian gangguan telah dilakukan secara ad-hoc.
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi. Perangkat yang digunakan masih belum terintegrasi.
4
Kebutuhan bagi Keamanan sistem secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara
Kebijakan dan pelaksanaan keamanan telah dilengkapi dengan dasar keamanan spesifik. Analisis dampak dan resiko keamanan TI
Analisis biaya/manfaat yang mendukung penerapan ukuran keamanan telah lebih dimanfaatkan.
keamanan TI secara reaktif dan dengan mengadopsi bantuan pihak ketiga, tanpa memenuhi kebutuhan spesifik organisasi. Kebutuhan keahlian dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan. Briefing kepedulian keamanan telah menjadi kewajiban. Sertifikasi keamanan staf telah dilakukan.
TI tanpa otoritas manajemen.
Tanggung jawab untuk keamanan TI telah ditetapkan, namun tidak diterapkan secara konsisten.
Pelaporan keamanan TI difokuskan lebih kepada TI, bukan kepada bisnis.
Tanggung jawab untuk keamanan TI telah ditetapkan dengan jelas, dikelola dan diterapkan.
Pelaporan keamanan TI terhubung dengan tujuan bisnis.
250
berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul.
5
Kebutuhan keamanan TI telah didefinisikan dengan jelas, dioptimalkan dan dimasukkan ke dalam rencana keamanan yang terverifikasi. Kendali mitigasi yang memadai dikomunikasikan dan diterapkan dengan baik.
telah dilakukan secara konsisten. Pengujian terhadap gangguan merupakan proses standar dan terformalisasi yang menuju pada peningkatan. Proses-proses keamanan TI telah dikoordinasikan ke seluruh fungsi keamanan organisasi. Identifikasi, autentifikasi dan otorisasi pengguna telah distandarisasi. Proses dan teknologi keamanan diintegrasikan di seluruh bagian organisasi. Informasi mengenai ancaman dan kerentanan yang baru dikumpulkan dan dianalisa secara sistematis.
Pelaporan keamanan TI memberikan peringatan awal terhadap resiko yang muncul dan berubahubah, dengan menggunakan pendekatan pengawasan aktif secara terotomasi untuk sistem utama. Fungsi-fungsi keamanan telah
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik
Keamanan TI merupakan tanggung jawa bersama antara manajemen bisnis dan TI yang diintegrasikan dengan tujuan bisnis keamanan perusahaan.
Pengujian intrusi, analisis akar permasalahan dari insiden keamanan, dan identifikasi resiko secara proaktif merupakan dasar bagi peningkatan secara kontinu. Penilaian keamanan secara periodik mengevaluasi
251
diintegrasikan dengan aplikasi pada tahap desain dan pengguna akhir lebih dipercaya untuk mengelola keamanan. Insiden diselesaikan dengan tepat menggunakan prosedur respon insiden yang formal dan didukung oleh perangkat terotomasi.
terkini. Pelatihan untuk staf telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
efektifitas penerapan rencana keamanan.
252
Matriks Atribut Kematangan pada Proses Melakukan Identifikasi dan Alokasi Biaya (DS6)
0
1
Kepedulian dan komunikasi
Kebijakan, standar dan prosedur
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Organisasi bahkan tidak menyadari adanya permasalahan yang akan diselesaikan terkait dengan pembukuan biaya dan tidak ada komunikasi mengenai permasalahan tersebut. Terdapat pemahaman secara umum mengenai keseluruhan biaya untuk layanan informasi, namun tidak ada rincian biaya untuk setiap pengguna, departemen, kelompok pengguna, fungsi layanan, proyek atau pemberian layanan.
Keberadaan prosesproses untuk mengidentifikasi dan mengalokasi biaya masih sangat minim terkait dengan layanan informasi yang diberikan.
Tidak ada perangkat untuk mengidentifikasi dan mengalokasi biaya.
Tidak ada pelatihan untuk mengidentifikasi dan mengalokasi biaya.
Tidak ada tanggung jawab dan akuntabilitas dalam mengidentifikasi dan mengalokasi biaya.
Tidak ada proses atau sistem untuk menutupi pengeluaran dalam mengenakan biaya pada pengguna atas pengeluaran dalam pemberian layanan informasi. Tidak ada pengawasan biaya yang nyata, melainkan hanya pelaporan biaya keseluruhan pada pihak manajemen.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tertentu.
Belum ada dalam perencanaan adanya pelatihan dan belum ada pelatihan formal yang dilakukan.
Tanggungjawab masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Penentuan dan pengukuran pencapaian Belum ada penentuan pengukuran pencapaian untuk mengidentifikasi dan mengalokasi biaya.
Tujuan identifikasi dan alokasi biaya belum jelas dan belum ada pengukuran.
253
2
Terdapat kepedulian yang menyeluruh terhadap kebutuhan untuk mengidentifikasi dan mengalokasikan biaya. Tidak ada komunikasi formal mengenai prosedur alokasi dan identifikasi biaya standar.
Alokasi biaya didasarkan pada asumsi biaya pokok atau informal, misalnya untuk biaya hardware, dan tidak ada keterkaitan dengan pengarahan nilai. Proses alokasi biaya dapat diulangi dan beberapa diantaranya mulai diawasi.
Telah digunakannya perangkat untuk membantu proses alokasi dan identifikasi biaya sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahlian nya dan dibantu oleh vendor.
3
Terdapat tingkat kepedulian yang sesuai terhadap biaya untuk layanan informasi.
Beberapa prosedur telah mulai didefinisikan dan didokumentasikan sebagai acuan melakukan beberapa aktivitas dasar dalam alokasi dan identifikasi biaya.
Terdapat sistem Pelatihan dilakukan pembukuan biaya secara informal. yang terotomasi, namun lebih terfokus pada fungsi layanan informasi, bukan pada proses bisnis. Terdapat model pembiayaan layanan informasi yang terdokumentasi dan terdefinisi. Model tersebut dikomunikasikan dan diterapkan di organisasi.
Tidak ada pelatihan Tanggung jawab formal mengenai tidak ditetapkan. prosedur alokasi dan identifikasi biaya standar.
Kepemilikan dan Tanggungjawab telah ditetapkan serta permasalahan alokasi dan identifikasi biaya dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
Aktivitas pengawasan terhadap alokasi dan identifikasi biaya mulai dilakukan walaupun masih belum secara konsisten.
Beberapa tujuan dan pengukuran dalam alokasi dan identifikasi biaya telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan
254
4
5
Kebutuhan bagi alokasi dan identifikasi biaya secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam alokasi dan identifikasi biaya. Kebutuhan alokasi dan identifikasi biaya dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan
Secara umum, terdapat evaluasi dan pengawasan biaya, serta tindakan yang diambil ketika proses tidak berjalan secara efektif atau efisien. Tindakan diambil pada sebagian besar kasus. Proses pengelolaan biaya ditingkatkan secara kontinu dan menerapkan pelaksanaan internal terbaik.
Biaya langsung dan tidak langsung diidentifikasi dan dilaporkan secara berkala dan terotomasi pada manajemen, pemilik proses bisnis, dan pengguna.
Terdapat keterlibatan dari seluruh pakar manajemen biaya internal.
Akuntabilitas dan tanggung jawab pengelolaan biaya layanan informasi telah didefinisikan dan dipahami secara menyeluruh di seluruh tingkatan dan didukung oleh pelatihan formal.
Biaya dari layanan yang diberikan telah teridentifikasi, tercatat, terangkum dan dilaporkan ke pihak manajemen, pemilik proses bisnis dan pengguna.
Model biaya variabel telah digunakan , diturunkan dari jumlah yang diproses untuk setiap layanan yang diberikan. Perangkat yang canggih
Pakar eksternal telah dilibatkan dan dilakukan benchmarking sebagai panduan manajemen biaya.
Terdapat evaluasi dan pengawasan yang baik atas biaya layanan, dimana keragaman dari jumlah biaya teridentifikasi, serta ketidaksesuaian
dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. Pelaporan biaya layanan dihubungkan dengan tujuan bisnis dan kesepakatan tingkat layanan.
Manajemen biaya telah disempurnakan ke arah pelaksanaan terbaik, berdasarkan hasil dari peningkatan secara kontinu dan pemodelan
255
kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam alokasi dan identifikasi biaya yang juga merupakan peluang pengembangan kedepan.
Biaya diidentifikasi sebagai pengeluaran dan mendukung sebuah sistem pembiayaan yang meminta tagihan kepada pengguna atas layanan yang diberikan berdasarkan jenis pemanfaatan. Rincian biaya mendukung kesepakatan tingkat layanan.
digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
dirinci dan diselesaikan.
kematangan terhadap organisasi lainnya. Pelaporan biaya layanan informasi memberikan peringatan awal terhadap kebutuhan bisnis yang berubahubah melalui sistem pelaporan. Gambaran biaya yang diperoleh digunakan untuk memverifikasi penggunaan keuntungan dan digunakan dalam proses penyusunan anggaran organisasi.
256
Matriks Atribut Kematangan pada Proses Mendidik dan Melatih Pengguna (DS7) Kepedulian dan komunikasi 0
1
Organisasi bahkan tidak menyadari adanya permasalahan yang akan diselesaikan melalui pelatihan serta tidak adanya komunikasi mengenai permasalahan. Terdapat bukti bahwa organisasi telah menyadari kebutuhan akan program pendidikan dan pelatihan, namun tidak ada proses terstandarisasi. Keseluruhan pendekatan manajemen tidak dilakukan secara terpadu dan hanya terdapat komunikasi yang sporadis dan
Kebijakan, standar dan prosedur
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Tidak ada kebijakan, standar dan prosedur untuk mendidik dan melatih pengguna.
Tidak ada perangkat untuk mendidik dan melatih pengguna.
Tidak ada pelatihan untuk mendidik dan melatih pengguna.
Tidak ada tanggung jawab dan akuntabilitas dalam mendidik dan melatih pengguna.
Dalam ketidakadaan program yang terorganisir, para pegawai telah mengidentifikasi dan menghadiri kursus pelatihan secara individu.
Beberapa perangkat untuk mendidik dan melatih pengguna mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tools Untuk mendidik dan melatih pengguna.
Beberapa kursus pelatihan telah diarahkan untuk permasalahan pelaksanaan etika, kepedulian keamanan sistem dan pelaksanaan keamanan.
Tanggungjawab mendidik dan melatih pengguna masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Penentuan dan pengukuran pencapaian Belum ada penentuan pengukuran pencapaian untuk mendidik dan melatih pengguna.
Tujuan mendidik dan melatih pengguna belum jelas dan belum ada pengukuran yang dilakukan.
257
2
3
tidak konsisten mengenai permasalahan dan pendekatan terhadap pelatihan dan pendidikan. Terdapat kepedulian mengenai kebutuhan program pendidikan dan pelatihan dan untuk proses-proses yang terkait di seluruh organisasi. Komunikasi secara konsisten atas seluruh permasalahan dan kebutuhan untuk melakukannya tetap dilakukan.
Program pendidikan dan pelatihan telah dikomunikasikan dan diterapkan di organisasi, pegawai
Pelatihan mulai diidentifikasi dalam rencana kinerja individu para pegawai. Proses telah dikembangkan hingga tingkatan dimana kelas pendidikan dan pelatihan informal diajarkan oleh instruktur yang berbeda, namun tetap mencakup permasalahan yang sama dengan pendekatan yang berbeda.
Telah digunakannya perangkat untuk membantu mendidik dan melatih pengguna sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahlian nya dan dibantu oleh vendor.
Terdapat ketergantungan yang tinggi atas pengetahuan individu. Beberapa kelas telah mengarah pada permasalahan pelaksanaan etika dan pelaksanaan serta kepedulian keamanan sistem.
Proses pendidikan dan pelatihan telah terdokumentasi. Analisis permasalahan pelatihan dan
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi
Kelas-kelas formal diberikan pada pegawai dalam melaksanakan etika dan dalam
Kepemilikan dan tanggungjawab untuk mendidik dan melatih pengguna secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan mendidik dan melatih pengguna, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan Kepemilikan dan tanggungjawab mendidik dan melatih pengguna telah ditetapkan
Aktivitas pengawasan untuk mendidik dan melatih pengguna mulai dilakukan walaupun masih belum secara konsisten terutama pada aktivitasaktivitas penting.
Sebagian besar proses pendidikan dan pelatihan diawasi, namun tidak seluruh
258
4
dan manajer melakukan identifikasi dan dokumentasi kebutuhan pelatihan.
komunikasi tidak dilakukan secara rutin. Anggaran, sumberdaya, fasilitas dan trainer telah disediakan untuk mendukung program pelatihan dan pendidikan.
dalam mendidik dan melatih pengguna. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
kepedulian dan pelaksanaan keamanan sistem.
Manajemen mendukung dan menghadiri sesi pelatihan dan pendidikan.
Seluruh pegawai menerima tingkatan pelatihan pelaksanaan keamanan sistem yang sama dalam melindungi bahaya kegagalan yang mempengaruhi ketersediaan, kerahasiaan, dan integritas.
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mendidik dan melatih pengguna.
Seluruh pegawai menerima pelatihan kepedulian keamanan sistem dan pelaksanaan etika. Pelatihan dan pendidikan merupakan sebuah komponen bagi arah karir pegawai.
serta permasalahan yang terkait dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya. Tanggung jawab jelas dan kepemilikan proses telah ditentukan.
penyimpangan dapat terdeteksi oleh manajemen.
Terdapat sebuah program pelatihan dan pendidikan secara komprehensif yang terfokus pada kebutuhan perusahaan dan individu serta menghasilkan keluaran yang terukur. Manajemen mengawasi kepatuhan dengan mereview dan memperbaharui proses serta program pendidikan dan pelatihan secara
259
5
Terdapat perilaku yang positif terkait dengan pelaksanaan etika dan prinsip keamanan sistem. TI digunakan secara ekstensif, terintegrasi, dan teroptimalisasi untuk mengotomasi dan menyediakan perangkat bagi program pelatihan dan pendidikan.
Anggaran, sumberdaya, fasilitas, dan instruktur yang memadai diberikan untuk program pelatihan dan pendidikan. Pelatihan dan pendidikan merupakan komponen utama arah karir pegawai. Seluruh permasalahan dan penyimpangan dianalisa untuk akar permasalahan dan tindakan efisien diidentifikasi dan diambil dengan tepat.
Perangkat yang canggih digunakan dengan otomasi mendidik dan melatih pengguna secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
Pelatihan dan pendidikan berdampak pada peningkatan kinerja individu. Pakar pelatihan eksternal diperbanyak dan digunakan benchmarking sebagai panduan.
Tanggung jawab mendidik dan melatih pengguna ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
konstan. Proses ditingkatkan dan menerapkan pelaksanaan internal terbaik. Proses telah disempurnakan dan ditingkatkan secara kontinu, menggunakan keuntungan yang diperoleh dari pemodelan kematangan dan pelaksanaan eksternal terbaik dengan organisasi lainnya.
260
Matriks Atribut Kematangan pada Proses Mendampingi dan Memberikan Saran Kepada Pengguna (DS8) Kepedulian dan komunikasi
Kebijakan, standar dan prosedur
Perangkat dan otomasi
Keahlian dan kepakaran
0
Organisasi tidak menyadari bahwa terdapat permasalahan yang akan diselesaikan.
Tidak ada kebijakan, standar dan prosedur untuk mendampingi dan memberikan saran kepada pengguna.
Tidak ada pelatihan untuk mendampingi dan memberikan saran kepada pengguna.
Tidak ada tanggung jawab dan akuntabilitas untuk mendampingi dan memberikan saran kepada pengguna.
1
Organisasi telah mengetahui bahwa proses yang didukung oleh perangkat dan personil untuk merespon pertanyaan pengguna dan mengelola resolusi permasalahan. Manajemen tidak mengawasi pertanyaan, permasalahan atau tren pengguna. Terdapat kepedulian organisasi akan kebutuhan untuk
Tidak ada proses yang terstandarisasi dan hanya dukungan reaktif yang diberikan. Tidak ada proses eskalasi untuk memastikan bahwa permasalahan telah diselesaikan.
Tidak terdapat fungsi help desk. Tidak ada dukungan untuk menyelesaikan pertanyaan dan permasalahan pengguna. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software tertentu.
Belum ada dalam perencanaan adanya pelatihan dalam mendampingi dan memberikan saran kepada pengguna dan belum ada pelatihan formal yang dilakukan
Tanggungjawab mendampingi dan memberikan saran kepada pengguna masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Individu-individu tersebut memiliki perangkat yang
Panduan tersedia secara informal melalui sebuah
Tanggung jawab diserahkan pada masing-masing
2
Kegiatan mendampingi dan memberikan saran kepada pengguna telah
Tanggung jawab dan akuntabilitas
Penentuan dan pengukuran pencapaian Belum ada penentuan pengukuran pencapaian untuk mendampingi dan memberikan saran kepada pengguna. Tujuan mendampingi dan memberikan saran kepada pengguna belum jelas dan belum ada pengukuran.
Aktivitas pengawasan mulai dilakukan
261
3
4
membantu fungsi help desk. Terdapat komunikasi yang konsisten mengenai keseluruhan permasalahan dan kebutuhan untuk menyelesaikannya. Kebutuhan untuk membantu fungsi help desk telah diketahui dan diterima.
dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya.
Terdapat pemahaman menyeluruh mengenai manfaat dari help desk di seluruh tingkatan
Prosedur untuk mengkomunikasikan, mengeskalasi dan menyelesaikan
Prosedur telah distandarisasi dan didokumentasikan serta terdapat pelatihan informal.
tersedia untuk membantu dalam penyelesaian masalah.
jaringan individuindividu yang memiliki pengetahuan. Tidak ada pelatihan dan komunikasi formal mengenai prosedur standar. Frequently Asked Kebutuhan keahlian Questions (FAQs) dalam mendampingi dan panduan dan memberikan pengguna telah saran kepada dikembangkan, pengguna telah namun individu diidentifikasi dan masih harus didokumentasikan mencarinya dan secara lengkap. mungkin tidak Perencanaan mengikutinya. pelatihan formal Pertanyaan dan telah permasalahan dilacak dikembangkan. secara manual dan Pelatihan formal diawasi oleh individu, bagi staf mulai namun tidak ada dilakukan, walau sistem pelaporan masih didasarkan formal. inisiatif perorangan. Perangkat dan teknik Personil help desk diotomasikan dengan dilatih dan proses basis pengetahuan ditingkatkan melalui permasalahan dan penggunaan
individu.
walaupun masih belum secara konsisten terutama pada aktivitas penting.
Keikutsertaan dalam pelatihan dan kepatuhan terhadap standar bergantung pada tanggung jawab individu.
Respon berkala terhadap pertanyaan dan permasalahan tidak diukur dan permasalahan terkadang tidak terselesaikan. Eskalasi permasalahan mulai dilakukan.
Tanggung jawab telah menjadi jelas dan efektifitas diawasi.
Penyebab utama dari permasalahan telah diidentifikasi dan tren dilaporkan,
262
5
organisasi dan fungsi tersebut telah dibentuk pada unit organisasi yang tepat.
permasalahan telah dibentuk dan dikomunikasikan. Staf help desk berinteraksi langsung dengan staf manajemen permasalahan.
solusi yang terpusat.
perangkat lunak yang spesifik untuk pekerjaan tertentu.
Fungsi help desk telah dibentuk, diorganisasir dengan baik dan berorientasi pada layanan pelanggan, dengan menambah pengetahuan, fokus pada pelanggan, dan akan sangat membantu.
Manajemen menggunakan proses notifikasi secara pro aktif dan analisis tren untuk mencegah dan mengawasi permasalahan. Saran diberikan secara konsisten dan permasalahan diselesaikan dengan cepat dalam sebuah proses eskalasi terstruktur.
Perangkat digunakan untuk memungkinkan pengguna dalam melakukan diagnosa dan menyelesaikan permasalahan. TI digunakan dalam menciptakan, mengelola dan meningkatkan akses untuk mengotomasi basis pengetahuan yang mendukung penyelesaian permasalahan.
FAQ yang komprehensif dan diperluas merupakan bagian integral dari basis pengetahuan.
Tanggung jawab mendampingi dan memberikan saran kepada pengguna ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
berdampak pada koreksi permasalahan secara berkala. Proses sedang ditingkatkan dan menerapkan pelaksanaan internal terbaik. Proses telah disempurnakan hingga tingkat pelaksanaan eksternal terbaik, berdasarkan pada hasil peningkatan secara kontinu dan pemodelan kematangan dengan organisasi lainnya.
263
Matriks Atribut Kematangan pada Proses Mengelola Konfigurasi (DS9) Kepedulian dan komunikasi 0
1
2
Kebijakan, standar dan prosedur
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Manajemen tidak memiliki apresiasi terhadap manfaat dari pembentukan proses untuk melaporkan dan mengelola infrastruktur TI, untuk konfigurasi hardware maupun software. Kebutuhan untuk manajemen konfigurasi telah diketahui.
Tidak ada kebijakan, standar dan prosedur dalam mengelola konfigurasi.
Tidak ada perangkat dan otomasi dalam mengelola konfigurasi.
Tidak ada keahlian dan kepakaran dalam mengelola konfigurasi.
Tidak ada tanggung jawab dan akuntabilitas dalam mengelola konfigurasi.
Penentuan dan pengukuran pencapaian Tidak ada penentuan dan pengukuran pencapaian dalam mengelola konfigurasi.
Tidak ada pelaksanaan standar yang diterapkan.
Tujuan pengelolaan konfigurasi belum jelas dan belum ada pengukuran yang dilakukan.
Konten data konfigurasi dibatasi dan tidak digunakan oleh proses yang saling berhubungan seperti manajemen perubahan
Belum ada dalam perencanaan adanya pelatihan dalam mengelola konfigurasi dan belum ada pelatihan formal dilakukan untuk mengelola konfigurasi. Terdapat ketergantungan secara implisit pada pengetahuan dan keahlian personil teknis.
Tugas manajemen konfigurasi dasar seperti merawat inventaris hardware dan software dilakukan secara individual.
Manajemen memiliki kepedulian terhadap manfaat pengendalian konfigurasi TI.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software. Perangkat manajemen konfigurasi digunakan sampai tingkatan tertentu, namun berbeda untuk setiap platform.
Kepemilikan dan tanggungjawab atas pengelolaan konfigurasi secara informal telah diterapkan oleh
Tidak ada pelaksanaan kerja standar yang telah didefinisikan.
264
dan manajemen permasalahan.
3
Kebutuhan untuk mengakurasikan dan melengkapi informasi konfigurasi telah dipahami dan diterapkan.
Prosedur dan pelaksanaan pekerjaan telah didokumentasikan, distandarisasi dan dikomunikasikan, namun pelatihan dan penerapan standar tergantung pada individu. Penyimpangan prosedur sulit dideteksi dan verifikasi fisik dilakukan secara tidak konsisten.
Perangkat manajemen konfigurasi yang serupa diimplementasikan di seluruh platform. Terdapat beberapa otomasi untuk membantu dalam melacak perubahan peralatan dan software. Data konfigurasi digunakan oleh proses yang saling berhubungan.
Kebutuhan keahlian dalam mengelola konfigurasi telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
perorangan. Bila terjadi permasalahan terkait dengan pengelolaan konfigurasi, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan Kepemilikan dan Tanggungjawab pengelolaan konfigurasi telah ditetapkan dan dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya
Beberapa tujuan dan pengukuran dalam pengelolaan konfigurasi telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar.
265
4
Kebutuhan untuk mengelola konfigurasi diketahui oleh seluruh tingkatan organisasi dan pelaksanaan terbaik terus ditingkatkan.
Prosedur dan standar dikomunikasikan dan digabungkan dalam pelatihan, penyimpangan yang terjadi akan diawasi, dilacak dan dilaporkan. Sistem manajemen konfigurasi tidak mencakup sebagian besar infrastruktur TI dan memungkinkan dilakukannya release management yang baik dan kendali distribusi. Analisis pengecualian dan verifikasi fisik diterapkan secara konsisten dan penyebab utamanya diidentifikasi.
Perangkat terotomasi digunakan seperti teknologi penekanan untuk menerapkan standar dan meningkatkan stabilitas.
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan konfigurasi untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait manajemen data telah dilakukan sesuai dengan rencana dan sharing pengetahuan dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Tanggungjawab pengelolaan konfigurasi didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
5
Kebutuhan pengelolaan konfigurasi dan pemahamannya atas langkah yang
Proses-proses yang terkait diintegrasikan seluruhnya dan digunakan seperti halnya data konfigurasi
Seluruh komponen infrastruktur dikelola dalam sistem manajemen konfigurasi, yang
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan
Tanggung jawab pengelolaan konfigurasi ditetapkan secara jelas, diketahui
Pengawasan telah dilakukan. Indikator pencapaian tujuan dan kinerja telah disepakati user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan konfigurasi. Perbaikan secara berkelanjutan pada proses pengelolaan konfigurasi dilakukan. Laporan audit dasar menyediakan data hardware dan software untuk perbaikan, layanan,
266
diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola konfigurasi yang juga merupakan peluang pengembangan kedepan.
pembaharuan. Data konfigurasi disesuaikan dengan katalog vendor. Aturan instalasi software yang sah telah diterapkan. Manajemen memprediksi perbaikan dan upgrade dari laporan analisis sehingga memberikan upgrade yang terjadwal dan kemampuan pembaharuan teknologi. Pelacakan aset dan pengawasan setiap workstation melindungi aset dan mencegah pencurian dan penyalahgunaan.
mencakup seluruh informasi yang diperlukan mengenai komponen-komponen dan keterkaitannya.
keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen konfigurasi telah dilembagakan. sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
garansi, upgrade dan penilaian teknis dari setiap unit.
267
Matriks Atribut Kematangan pada Proses Mengelola Permasalahan dan Insiden (DS10) Kepedulian dan komunikasi
Kebijakan, standar dan prosedur
0
Tidak ada kepedulian terhadap kebutuhan untuk mengelola permasalahan dan insiden.
1
Organisasi telah menyadari bahwa terdapat kebutuhan untuk menyelesaikan permasalahan dan mengevaluasi insiden.
Proses penyelesaian masalah bersifat informal, pengguna dan staf TI menyelesaikan masalah dengan pendekatan kasus per kasus. Manajemen seringkali merubah fokus dan arahan staf dukungan teknis dan operasi.
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Tidak ada perangkat untuk mengelola permasalahan dan insiden.
Tidak ada pelatihan untuk mengelola permasalahan dan insiden.
Tidak ada tanggung jawab dan akuntabilitas dalam mengelola permasalahan dan insiden.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana untuk menggunakan perangkat software.
Individu utama yang memiliki pengetahuan memberikan beberapa panduan atas permasalahan yang terkait dengan keahlian dan tanggung jawab mereka. Informasi tidak dibagikan dengan pihak lain dan solusi bervariasi dari satu personil pendukung ke personil lainnya, berdampak pada
Tanggungjawab mengelola permasalahan dan insiden masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Penentuan dan pengukuran pencapaian Belum ada penentuan pengukuran pencapaian untuk mengelola permasalahan dan insiden. Tujuan pengelolaan permasalahan dan insiden belum jelas dan belum ada pengukuran.
268
2
Terdapat kepedulian yang tinggi mengenai kebutuhan untuk mengelola permasalahan yang terkait dengan TI dalam unit bisnis dan fungsi layanan informasi.
Informasi dibagikan ke seluruh staf, namun proses tetap tidak terstruktur, informal dan umumnya bersifat reaktif.
3
Pengguna telah menerima komunikasi yang jelas mengenai waktu dan cara melaporkan permasalahan dan insiden.
Penyimpangan dari norma-norma atau standar yang ada terkadang tidak terdeteksi. Penyelesaian, eskalasi dan resolusi masalah telah distandarisasi walaupun belum sepenuhnya.
Telah digunakannya perangkat untuk membantu proses pengelolaan permasalahan dan insiden sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahlian nya dan dibantu oleh vendor. Perekaman dan pelacakan masalah serta resolusinya terpisah-pisah dalam tim penanggung jawab, dengan menggunakan perangkat yang tersedia tanpa analisis atau desentralisasi.
terbentuknya permasalahan tambahan dan hilangnya waktu produktif ketika mencari jawaban. Tingkat layanan untuk komunitas pengguna bervariasi dan dipersulit oleh ketidakcukupan pengetahuan terstruktur yang tersedia bagi pihak yang menyelesaikan masalah.
Kebutuhan keahlian dalam mengelola permasalahan dan insiden telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah
Proses resolusi telah berubah hingga suatu titik dimana beberapa individu utama bertanggung jawab untuk mengelola permasalahan dan insiden yang terjadi.
Pelaporan manajemen atas insiden dan analisis terjadinya masalah masih terbatas dan bersifat informal.
Kebutuhan akan sistem manajemen permasalahan yang efektif diterima dan dibuktikan dengan penugasan staf, pelatihan dan dukungan dari tim penanggung jawab.
Beberapa tujuan dan pengukuran dalam pengelolaan permasalahan dan insiden telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan
269
dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
4
Proses manajemen permasalahan dipahami di seluruh tingkatan dalam organisasi.
Metode dan prosedur telah didokumentasikan, dikomunikasikan, dan diukur untuk mencapai efektifitas. Manajemen permasalahan dan insiden diintegrasikan dengan semua proses yang terkait, seperti perubahan, ketersediaan dan manajemen konfigurasi, serta mendampingi pelanggan dalam mengelola data, fasilitas dan operasi.
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mengelola permasalahan dan insiden.
Pengetahuan dan keahlian disempurnakan, dijaga dan dikembangkan ke tingkatan yang lebih tinggi karena fungsi layanan informasi telah dipandang sebagai aset dan kontributor utama bagi pencapaian tujuan TI.
Tanggung jawab dan kepemilikan bersifat jelas dan diketahui.
tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. Kemampuan respon terhadap insiden diuji secara berkala. Sebagian besar permasalahan dan insiden diidentifikasi, direkam dilaporkan dan dianalisa untuk peningkatan secara kontinu dan dilaporkan ke pihak stakeholder.
270
5
Kebutuhan manajemen permasalahan dan insiden, dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola permasalahan dan insiden yang juga merupakan peluang pengembangan kedepan.
Proses manajemen permasalahan dan insiden telah menjadi lebih proaktif dan inovatif, sehingga berkontribusi pada tujuan TI. Permasalahan diantisipasi dan kemungkinan dapat dicegah.
Sebagian besar sistem telah dilengkapi dengan mekanisme peringatan dan pendeteksian otomatis, yang dilacak dan dievaluasi secara kontinu. Perekaman, pelaporan serta analisis permasalahan dan resolusi diotomasikan dan diintegrasikan sepenuhnya dengan manajemen manajemen data konfigurasi.
Pengetahuan dijaga melalui hubungan dengan para vendor dan pakar, dengan mempertimbangkan pola permasalahan dan insiden di masa lalu dan yang akan datang.
Tanggung jawab mengelola permasalahan dan insiden ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Indikator pencapaian tujuan dan kinerja telah disepakati oleh user, dikaitkan dengan tujuan bisnis dan secara konsisten dimonitor menggunakan proses yang telah didefinisikan. Mengintegrasikan sistem pengukuran kinerja proses mengelola permasalahan dan insiden yang mengaitkan kinerja TI dan tujuan bisnis dengan menerapkan IT Balanced Scorecard. Peluang bagi perbaikan dan penyempurnaan proses mengelola permasalahan dan insiden terus dan terus digali.
271
Matriks Atribut Kematangan pada Proses Mengelola Data (DS11) Kepedulian dan komunikasi 0
Data belum diakui sebagai aset dan sumber daya perusahaan
1
Organisasi mulai menyadari adanya kebutuhan manajemen data yang akurat. Proses pengelolaan data merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan
2
Kebijakan, standar dan prosedur Tidak ada prosedur untuk menangani data
Menggunakan pendekatan ad hoc untuk menangani kebutuhan keamanan pada manajemen data, namun belum menggunakan prosedur dengan pendekatan formal. Prosedur backup/restorasi dan pengaturan penghapusan sudah ada Adanya kesadaran Penanganan keamanan akan kebutuhan pada manajemen data manajemen data untuk telah dilakukan segera ditindaklanjuti. walaupun masih Diselenggarakan dilakukan atas semacam forum untuk inisiatif perorangan
Perangkat dan otomasi
Keahlian dan kepakaran
Tidak adanya tools untuk mengelola data
Tidak ada pelatihan untuk mengelola data
Beberapa tools mungkin telah ada, karena memang sudah tersedia (bawaan) dalam tools perangkat standar. Belum ada rencana menggunakan software tools pengelolaan data
Belum ada dalam perencanaan adanya pelatihan dalam mengelola data dan belum ada pelatihan formal dilakukan
Telah digunakannya tools untuk membantu proses pengelolaan data sebagai solusi yang dikembangkan atas
Kebutuhan skill minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola
Tanggung jawab dan akuntabilitas Tidak ada kepemilikan data atau siapa yang bertanggungjawab dalam pengelolaan data Tanggungjawab manajemen data masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Kepemilikan dan tanggungjawab atas manajemen data secara informal telah diterapkan oleh perorangan. Bila
Penentuan dan pengukuran pencapaian Kebutuhan akan kualitas dan keamanan data belum ada
Tujuan pengelolaan data belum jelas dan belum ada pengukuran
Aktivitas pengawasan terhadap manajemen data mulai dilakukan walaupun masih belum secara
272
3
dapat mengkomunikasikan permasalahan terkait dengan pengelolaan data.
berdasarkan pengalaman/ keahliannya.
inisiatif perorangan berdasarkan pengalaman/keahlian nya dan dibantu oleh vendor.
data. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
Adanya pemahaman akan kebutuhan manajemen data. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen level atas untuk dapat melakukan langkahlangkah efektif dalam proses pengelolaan data.
Beberapa prosedur telah mulai didefinisikan dan didokumentasikan sebagai acuan dalam melakukan beberapa aktivitas dasar dalam pengelolaan data seperti proses backup/ restorasi dan penghapusan peralatan/ media.
Adanya rencana penggunaan tools standar untuk melakukan otomasi dalam sistem pengelolaan data. Telah digunakan beberapa tools untuk keperluan backup/restorasi serta penghapusan peralatan/media namun masih belum terintegrasi.
Kebutuhan skill dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
terjadi permasalahan terkait dengan manajemen data, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan Kepemilikan dan Tanggungjawab manajemen data telah ditetapkan serta permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya
konsisten terutama pada aktivitas penting seperti backup, restorasi, dan penghapusan.
Beberapa tujuan dan pengukuran dalam pengelolaan data telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
273
4
Kebutuhan bagi manajemen data secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam pengelolaan data.
Prosedur-prosedur secara lengkap pada proses pengelolaan data, yang mengacu pada standar, yang menerapkan internal best-practice, telah diformalkan dan disosialisasikan secara luas serta mulai dilakukan sharing knowledge.
Penggunaan tools terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan tools. Beberapa tools telah terintegrasi dengan tools yang lainnya. Tools tersebut digunakan untuk mengotomasikan proses utama dalam mengelola data.
Kebutuhan skill secara rutin diupdate untuk seluruh proses pengelolaan data untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait manajemen data telah dilakukan sesuai dengan rencana dan knowledgesharing dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Tanggungjawab dan kepemilikan pada manajemen data didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
Indikator pencapaian tujuan dan kinerja telah disepakati user dan dimonitor dengan proses yang telah didefinisikan serta dikaitkan dengan tujuan bisnis dan rencana strategi TI. Telah diterapkan IT Balanced Scorecard dalam menilai kinerja pengelolaan data. Perbaikan secara berkelanjutan pada proses pengelolaan data dilakukan.
274
5
Kebutuhan manajemen data dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola data yang juga merupakan peluang pengembangan kedepan.
Prosedur-prosedur secara lengkap pada proses pengelolaan data, diformalkan dan disosialisasikan, serta sharing knowledge menjadi praktek yang harus dilakukan untuk melakukan pengembangan berkelanjutan. Prosedur dalam mengelola data tersebut mengacu pada standar dan terintegrasi serta telah menerapkan external best practices
Tools yang canggih digunakan dengan otomasi manajemen data secara maksimal dan terintegrasi dengan tools lain yang terkait. Tools digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan skill secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen data telah dilembagakan.Shari ng pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
Tanggung jawab kepemilikan data dan manajemen data ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Indikator pencapaian tujuan dan kinerja telah disepakati oleh user, dikaitkan dengan tujuan bisnis dan secara konsisten dimonitor menggunakan proses yang telah didefinisikan. Mengintegrasikan sistem pengukuran kinerja proses pengelolaan data yang mengaitkan kinerja TI dan tujuan bisnis dengan menerapkan IT Balanced Scorecard. Peluang bagi perbaikan dan penyempurnaan proses pengelolaan data terus dan terus digali.
275
Matriks Atribut Kematangan pada Proses Mengelola Fasilitas (DS12) Kepedulian dan komunikasi 0
1
Tidak ada kepedulian akan kebutuhan untuk melindungi fasilitas atau investasi dalam sumberdaya komputasi.
Kebijakan, standar dan prosedur
Faktor lingkungan seperti pemadam kebakaran, sampah, listrik, kelemababan dan panas yang berlebihan tidak diawasi dan dikendalikan. Organisasi telah Tidak ada prosedur mengetahui kebutuhan standar dan manajemen bisnis untuk fasilitas dan peralatan menyediakan kondisi bergantung pada yang cocok untuk kemampuan dan melindungi keahlian personil sumberdaya dan utama. personil dalam Kenyamanan menghadapi bencana lingkungan tidak alam maupun yang ditinjau dan disebabkan oleh perpindahan orangmanusia. orang dalam fasilitas tidak dibatasi.
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Tidak ada perangkat untuk mengelola fasilitas.
Tidak ada pelatihan untuk mengelola fasilitas.
Tidak ada tanggung jawab dan akuntabilitas dalam mengelola fasilitas.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
Belum ada dalam perencanaan adanya pelatihan dalam mengelola fasilitas dan belum ada pelatihan formal yang dilakukan.
Manajemen tidak mengawasi kendali lingkungan fasilitas atau perpindahan personil. Tanggungjawab mengelola fasilitas masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Penentuan dan pengukuran pencapaian Tidak ada penentuan dan pengukuran pencapaian dalam mengelola fasilitas.
Tujuan pengelolaan fasilitas belum jelas dan belum ada pengukuran.
276
2
3
Kepedulian akan kebutuhan untuk melindungi dan mengendalikan lingkungan pemrosesan fisik telah diketahui dan tercermin pada alokasi anggaran dan sumberdaya lainnya. Keamanan fisik merupakan proses informal yang diawali oleh inisiatif sekelompok kecil pegawai yang memiliki kepedulian tinggi untuk mengamankan fasilitas fisik. Kebutuhan untuk menjaga lingkungan pemrosesan yang terkendali dipahami dan diterima oleh organisasi.
Prosedur perawatan fisik tidak terdokumentasi dengan baik dan bergantung pada pelaksanaan terbaik sebagian kecil individu.
Telah digunakannya perangkat untuk membantu proses pengelolaan fasilitas sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahlian nya dan dibantu oleh vendor.
Faktor kendali Fasilitas fisik sulit lingkungan, perawatan dikenali dan belum dapat diidentifikasi. preventif dan keamanan fisik dimasukkan dalam anggaran yang disetujui dan dilacak oleh manajemen. Larangan akses telah diterapkan, dimana
Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola fasilitas. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
Kendali lingkungan diterapkan dan diawasi oleh personil operasi.
Pencapaian keamanan fisik tidak didasarkan pada standar formal dan manajemen tidak memastikan bahwa tujuan keamanan telah dicapai.
Kebutuhan keahlian dalam mengelola fasilitas telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan.
Pengunjung dicatat dan terkadang dipandu, tergantung pada individu yang bertanggung jawab. Otoritas sipil mengawasi kesesuaian dengan regulasi kesehatan dan keamanan.
Beberapa tujuan dan pengukuran dalam pengelolaan fasilitas telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis.
277
Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
hanya personil tertentu yang diizinkan untuk mengakses fasilitas pemrosesan. Resiko telah diasuransikan, namun tidak ada upaya untuk mengoptimalkan biaya asuransi. 4
Kebutuhan untuk merawat lingkungan pemrosesan terkendali telah dipahami dengan baik, hal tersebut tercermin pada struktur organisasi dan alokasi anggaran. Daya pemulihan sumberdaya pemrosesan digabungkan ke dalam proses manajemen resiko organisasi.
Perencanaan dibentuk untuk keseluruhan organisasi, terdapat pengujian terintegrasi dan teratur serta hal-hal yang dipelajari digabungkan ke dalam revisi rencana. Mekanisme kendali standar ditujukan untuk membatasi akses ke fasilitas dan menangani faktor keamanan dan lingkungan. Kebutuhan keamanan fisik dan lingkungan telah terdokumentasi, akses diawasi dan dikendalikan secara ketat.
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam mengelola fasilitas.
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan fasilitas untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan fasilitas telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
Tanggung jawab dan kepemilikan telah dibentuk dan dikomunikasikan. Staf fasilitas telah sepenuhnya dilatih dalam situasi darurat, sebagaimana pelaksanaan keamanan dan kesehatan.
Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan. Manajemen mengawasi efektivitas kendali dan kepatuhan dengan standar yang berlaku.
278
5
Terdapat rencana jangka panjang untuk fasilitas yang diperlukan untuk mendukung lingkungan pemrosesan organisasi.
Informasi yang terintegrasi digunakan untuk mengoptimalkan cakupan asuransi dan biaya yang terkait. Standar telah didefinisikan untuk seluruh fasilitas, mencakup pemilihan lokasi, konstruksi, penjagaan, keamanan personil, sistem listrik dan mekanik, serta perlindungan dari kebakaran, petir dan banjir. Seluruh fasilitas diinventaris dan diklasifikasikan menurut proses manajemen resiko yang dijalankan di organisasi. Strategi dan standar fasilitas disesuaikan dengan sasaran ketersediaan layanan TI dan diintegrasikan dengan perencanaan kelangsungan bisnis
Lingkungan diawasi dan dikendalikan melalui peralatan khusus dan akses ke ruangan peralatan dibatasi dengan ketat. Program perawatan preventif menekankan kepatuhan pada jadwal dan pengujian reguler diterapkan untuk peralatan yang sensitif.
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf manajemen fasilitas telah dilembagakan. Knowledgesharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan
Tanggung jawab pengelolaan fasilitas ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Manajemen mereview dan mengoptimalkan fasilitas secara kontinu, menekankan pada kesempatan untuk meningkatkan kontribusi bisnis.
279
dan manajemen krisis. Akses dikendalikan berdasarkan basis kebutuhan kerja, diawasi secara kontinu dan pengunjung selalu dipandu.
panduan.
280
Matriks Atribut Kematangan pada Proses Mengelola Operasi (DS13) Kepedulian dan komunikasi 0
1
2
Organisasi tidak mengalokasikan waktu dan sumberdaya untuk aktifitas dasar operasi dan dukungan TI. Organisasi menyadari kebutuhan untuk menstrukturkan fungsi dukungan TI.
Organisasi memiliki kepedulian penuh terhadap peran utama yang dijalankan operasi TI dalam
Kebijakan, standar dan prosedur
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Penentuan dan pengukuran pencapaian Tidak ada penentuan dan pengukuran pencapaian dalam mengelola operasi.
Tidak ada kebijakan, standar dan prosedur untuk mengelola operasi.
Tidak ada perangkat untuk mengelola operasi.
Tidak ada pelatihan untuk mengelola operasi.
Tidak ada tanggung jawab dan akuntabilitas dalam mengelola operasi.
Tidak ada prosedur standar dan aktifitas operasi bersifat reaktif. Sebagian besar operasi tidak terjadwal secara formal dan permintaan pemrosesan diterima tanpa melakukan validasi. Waktu akan terbuang ketika pegawai menunggu tersedianya sumberdaya. Operasi dukungan TI bersifat informal dan intuitif. Tidak ada standar pengoperasian dan
Komputer yang mendukung proses bisnis seringkali terganggu, tertunda atau tidak tersedia. Sistem tidak stabil atau tidak tersedia dan media keluaran terkadang muncul secara tidak diharapkan atau tidak muncul sama sekali.
Belum ada dalam perencanaan adanya pelatihan dalam mengelola operasi dan belum ada pelatihan formal dilakukan
Tanggungjawab manajemen operasi masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Tujuan pengelolaan operasi belum jelas dan belum ada pengukuran.
Anggaran untuk perangkat dialokasikan berdasarkan kasus per kasus.
Terdapat ketergantungan yang tinggi pada kemampuan dan keahlian individu.
Kepemilikan dan tanggungjawab atas pengelolaan operasi secara informal telah diterapkan oleh
Manajemen tidak mengukur jadwal yang dipenuhi oleh operasi TI atau menganalisa
281
3
menyediakan fungsi dukungan TI. Organisasi juga mengkomunikasikan kebutuhan untuk melakukan koordinasi antara pengguna dan pengoperasian sistem.
tidak ada pelatihan operator secara formal. Instruksi tentang apa yang akan dilakukan, kapan dan bagaimana urutan pelaksanaannya tidak terdokumentasi.
Kebutuhan manajemen pengoperasian komputer dipahami dan diterima dalam organisasi.
Sumberdaya telah dialokasikan dan terdapat beberapa onthe-job training. Fungsi yang berulang didefinisikan, didokumentasikan dan dikomunikasikan secara formal ke personil operasi dan pelanggan. Kendali yang ketat dilakukan setelah menempatkan pekerjaan baru pada operasi dan kebijakan formal digunakan untuk mengurangi jumlah kejadian yang
Penggunaan penjadwalan terotomasi dan perangkat lainnya diperluas dan distandarisasi untuk membatasi intervensi operator.
Kebutuhan keahlian dalam mengelola data telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan inisiatif perorangan.
perorangan. Bila terjadi permasalahan terkait dengan pengelolaan operasi, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan. Aktifitas dukungan TI lainnya telah diidentifikasi dan tugas-tugas yang terkait dengan tanggung jawab tersebut telah didefinisikan.
penundaan.
Kejadian dan hasil tugas yang telah diselesaikan direkam, namun pelaporan ke pihak manajemen dibatasi atau tidak ada.
282
4
5
tidak terjadwal. Kesepakatan layanan dan perawatan dengan vendor masih bersifat informal. Kebutuhan bagi Penyimpangan dari Pengelolaan operasi norma-norma yang ada secara utuh telah diselesaikan dan dipahami dan tindakan dikoreksi dengan cepat. yang diperlukan sudah Terdapat kesepakatan diterima secara luas di layanan dan perawatan organisasi. Secara formal dengan vendor. berkala diadakan Operasi didukung forum melalui anggaran sumberdaya untuk internal perusahaan untuk dapat mencari pengeluaran modal dan solusi bersama atas sumberdaya manusia. permasalahan yang timbul dalam pengelolaan operasi.
Kebutuhan pengelolaan operasi dan pemahaman atas langkah yang diperlukan telah dipahami dan diterima di organisasi.
Operasi pendukung TI bersifat efektif, efisien dan cukup fleksibel untuk memenuhi kebutuhan tingkat layanan dengan cepat dan tanpa kehilangan
Manajemen mengawasi penggunaan sumberdaya komputer dan penyelesaian pekerjaan atau tugas yang telah ditetapkan. Terdapat upaya untuk meningkatkan tingkat otomasi proses sebagai alat untuk memastikan peningkatan secara kontinu.
Pelatihan telah dijalankan dan diformalkan, sebagai bagian dari pengembangan karir.
Tanggung jawab dukungan dan pengoperasian komputer didefinisikan dengan jelas dan kepemilikannya ditetapkan. Jadwal dan tugas telah didokumentasikan dan dikomunikasikan ke fungsi TI dan klien bisnis.
Peralatan dianalisa berdasarkan usia dan gejala kerusakan serta perawatan bersifat preventif, seluruh hal tersebut dilakukan bersama-sama dengan
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan.
Tanggung jawab pengelolaan operasi ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara
Terdapat penyesuaian penuh dengan permasalahan dan proses manajemen ketersediaan, dengan didukung oleh analisis penyebab kegagalan dan error. Pengukuran dan pengawasan aktifitas harian dapat dilakukan dengan tingkat layanan dan kesepakatan kinerja yang telah distandarisasi. Proses manajemen TI operasioal distandarisasi dan didokumentasikan dalam sebuah basis pengetahuan dan ditujukan untuk
283
Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola operasi yang juga merupakan peluang pengembangan kedepan.
produktivitas. Pertemuaan berkala dengan manajemen perubahan memastikan dicakupnya perubahan dalam jadwal produksi.
vendor. Proses terotomasi yang mendukung sistem beroperasi dengan sempurna dan berkontribusi ke lingkungan yang stabil yang transparan dan dapat digunakan oleh pengguna, sehingga memungkinkan pengguna untuk memaksimalkan kesesuaian kebutuhannya dengan operasi TI.
Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf pengelolaan operasi telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
peningkatan secara kontinu. Seluruh permasalahan dan kegagalan dianalisa untuk mengidentifikasi akar permasalahan.
284
Matriks Atribut Kematangan pada Proses Melakukan Pengawasan Proses (M1) Kepedulian dan komunikasi
Kebijakan, standar dan prosedur
0
Kebutuhan untuk memahami tujuan proses dengan jelas tidak diketahui.
1
Manajemen menyadari kebutuhan untuk mengumpulkan dan menilai informasi tentang proses pengawasan.
Organisasi tidak menerapkan proses pengawasan. TI tidak melakukan pengawasan proyek atau proses secara independen. Pengawasan diterapkan secara reaktif pada insiden yang menyebabkan kerugian dan menurunnya citra organisasi. Pengawasan diterapkan oleh fungsi layanan informasi untuk dimanfaatkan oleh departemen lainnya, namun tidak diterapkan di seluruh prosesproses TI. Proses penilaian dan pengumpulan standar belum teridentifikasi.
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Tidak ada perangkat untuk melakukan pengawasan proses.
Tidak ada pelatihan untuk melakukan pengawasan proses.
Tidak ada tanggung jawab dan akuntabilitas dalam melakukan pengawasan proses.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software
Belum ada dalam perencanaan adanya pelatihan dalam melakukan pengawasan proses dan belum ada pelatihan formal dilakukan
Tanggungjawab melakukan pengawasan proses masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Penentuan dan pengukuran pencapaian Tidak ada pelaporan yang akurat, berkala dan bermanfaat.
Pengawasan telah diterapkan dan metrik dipilih berdasarkan kasus per kasus, sesuai dengan kebutuhan dari proses-proses dan proyek TI yang spesifik. Definisi dan pengukuran pengawasan proses mengikuti pendekatan kendali internal dan operasi keuangan tradisional, tanpa memenuhi
285
2
Fungsi layanan informasi dikelola sebagai pusat biaya, tanpa menilai kontribusinya terhadap entitas penghasil keuntungan bagi organisasi.
Penanganan pengawasan proses telah dilakukan walaupun masih dilakukan atas inisiatif perorangan berdasarkan pengalaman/ keahliannya.
3
Manajemen telah mengkomunikasikan dan menerapkan proses pengawasan standar.
Penilaian masih dilakukan pada proses TI individu dan tingkatan proyek namun tidak terintegrasi di seluruh proses.
Perangkat yang dipilih dan digunakan untuk memperoleh informasi masih terbatas dan mungkin tidak digunakan sepenuhnya karena kurangnya kepakaran dalam fungsionalitasnya. Teknik dan metode penilaian dan pengumpulan telah didefinisikan, namun proses-proses belum diadopsi di seluruh organisasi. Perangkat untuk mengawasi proses TI internal dan tingkat layanan telah diterapkan.
Fungsi perencanaan dan manajemen dibuat untuk menilai proses pengawasan, namun keputusan dibuat berdasarkan kepakaran personil utama.
Tanggung jawab pengawasan proses secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan pengawasan proses, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
Program pendidikan dan pelatihan untuk pengawasan telah diterapkan. Telah dikembangkan sebuah basis pengetahuan mengenai informasi
Tanggungjawab Pengawasan proses telah ditetapkan serta permasalahan integritas dan keamanan data dikendalikan oleh pihak yang bertanggung jawab.
kebutuhan fungsi layanan informasi secara spesifik. Pengukuran dasar yang akan diawasi telah diidentifikasi.
Pengukuran kinerja spesifik TI telah didefinisikan dan diterapkan, namun pengukuran strategis dan non finansial masih bersifat informal. Pengukuran
286
4
Manajemen telah mendefinisikan toleransi terhadap proses yang harus dioperasikan.
Pendasaran hasil pengawasan telah distandarisasi dan dinormalisasikan. Terdapat integrasi metrik di seluruh proyek dan proses TI.
Sistem pelaporan manajemen fungsi layanan informasi telah diformalkan dan sepenuhnya terotomasi. Perangkat otomasi diintegrasikan dan digunakan di organisasi untuk mengumpulkan dan mengawasi informasi
kinerja historis.
Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengawasan proses untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengawasan proses telah dilakukan sesuai
Tanggungjawab dan kepemilikan pada pengawasan proses didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan
kepuasan pelanggan dan tingkat layanan disediakan bagi entitas pengoperasian organisasi yang sedang menerapkannya. Pengukuran kontribusi fungsi layanan informasi terhadap kinerja organisasi telah didefinisikan menggunakan kriteria operasional dan keuangan tradisional. Sebuah framework telah didefinisikan untuk mengidentifikasi KGI, KPI dan CSF yang berorientasi strategis untuk mengukur kinerja. Kriteria untuk mengevaluasi pengembangan organisasi
287
5
Kebutuhan pengawasan proses dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional
Seluruh proses pengawasan dioptimalkan dan mendukung tujuan organisasi. Sebuah proses peningkatan kualitas secara kontinu dikembangkan untuk memperbaharui standar dan kebijakan pengawasan organisasi dan menjadikanya pelaksanaan terbaik industri.
operasional dari aplikasi, sistem dan proses.
dengan rencana dan Sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan.
baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
Perangkat yang canggih digunakan dengan otomasi pengawasan proses secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi
Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk staf
Tanggung jawab pengawasan proses ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
berdasarkan model kematangan telah didefinisikan. Ukuran kinerja fungsi layanan informasi mencakup kriteria pembelajaran organisasi dan pelanggan, operasional dan keuangan yang memastikan kesesuaian dengan pencapaian organisasi. Benchmarking terhadap industri dan kompetitor utama telah diformalkan dengan kriteria perbandingan yang dipahami dengan baik. KGI, KPI dan CSF digunakan secara rutin untuk mengukur kinerja dan diintegrasikan kedalam framework penilaian strategis
288
maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mengelola data yang juga merupakan peluang pengembangan kedepan.
Pengawasan proses dan desain ulang yang sedang berjalan konsisten dengan rencana yang dikembangkan berdasarkan model kematangan proses dan dengan rencana pengembangan proses bisnis organisasi.
pengawasan proses telah dilembagakan. Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
seperti IT Balanced Scorecard.
289
Matriks Atribut Kematangan pada Proses Menilai Ketersediaan Kontrol Internal (M2) Kepedulian dan komunikasi 0
1
2
Tidak ada kepedulian atas jaminan kendali internal dan keamanan operasional TI. Manajemen dan pegawai tidak memiliki kepedulian yang cukup akan kendali internal. Organisasi tidak memiliki komitmen manajemen yang cukup untuk standar keamanan operasional dan jaminan kendali internal.
Organisasi memiliki peningkatan kepedulian mengenai pengawasan kendali internal. Faktor resiko yang
Kebijakan, standar dan prosedur
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Penentuan dan pengukuran pencapaian Tidak ada metode pelaporan kendali internal manajemen.
Organisasi tidak memiliki prosedur untuk mengawasi efektifitas kendali internal.
Tidak ada perangkat untuk menilai ketersediaan kontrol internal.
Tidak ada pelatihan untuk menilai ketersediaan kontrol internal.
Tidak ada tanggung jawab dan akuntabilitas dalam menilai ketersediaan kontrol internal.
Kendali internal TI dilakukan sebagai bagian dari audit finansial tradisional, dengan metodologi dan keahlian yang tidak mencerminkan kebutuhan fungsi layanan informasi. Manajemen layanan informasi melakukan pengawasan terhadap efektifitas kendali internal utama secara teratur.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software. Metodologi dan perangkat yang spesifik untuk lingkungan TI mulai digunakan namun tidak secara
Kepakaran individu dalam menilai kecukupan kendali internal diterapkan secara ad-hoc.
Manajemen TI tidak menetapkan tanggung jawab untuk mengawasi efektifitas kendali internal secara formal.
Tujuan menilai ketersediaan kontrol internal belum jelas dan belum ada pengukuran.
Proses perencanaan dan manajemen terdefinisikan, namun penilaian bergantung pada keahlian personil-
Tanggungjawab untuk pengawasan kendali internal secara informal telah diterapkan oleh perorangan. Bila
Manajemen mulai mengembangkan metrik dasar.
290
3
spesifik terhadap lingkungan TI telah didefinisikan.
Organisasi menggunakan laporan kendali informal untuk mengawali inisiatif tindakan korektif. Kendali keamanan diawasi dan hasilnya direview secara teratur.
konsisten.
personil utama. Staf TI yang memiliki keahlian berpartisipasi secara rutin dalam penilaian kendali internal.
Manajemen memberikan dukungan dan telah menerapkan pengawasan kendali internal.
Kebijakan dan prosedur telah dikembangkan untuk menilai dan melaporkan aktifitas pengawasan kendali internal. Review detail untuk pengawasan kendali internal telah dilakukan. Kebijakan penilaian resiko proses TI digunakan dalam framework kendali yang dikembangkan secara khusus untuk organisasi TI. Fungsi layanan sistem informasi
Perangkat sudah digunakan namun tidak dirasa perlu untuk diintegrasikan ke dalam seluruh proses.
Sebuah basis pengetahuan metrik untuk informasi historis dari pengawasan kendali internal sedang dikembangkan. Sebuah program pendidikan dan pelatihan untuk pengawasan kendali internal telah diterapkan.
terjadi permasalahan terkait dengan pengawasan kendali internal, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan Tanggungjawab pengawasan kendali internal telah ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
Penilaian mandiri dan review jaminan kendali internal telah dikembangkan di seluruh keamanan operasional dan jaminan kendali internal serta melibatkan manajemen fungsi layanan informasi untuk bekerja dengan manajer bisnis.
291
4
Kebutuhan menilai ketersediaan kontrol internal secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam menilai ketersediaan kontrol internal.
5
Kebutuhan untuk menilai ketersediaan kontrol internal dan pemahamannya atas
mengembangkan kemampuan kendali internal TI yang berorientasi teknis untuk digunakan olehnya. Organisasi mengembangkan tingkatan toleransi untuk proses pengawasan kendali internal. Resiko yang khusus atas proses dan kebijakan mitigasi didefinisikan untuk seluruh fungsi layanan informasi.
Manajemen telah mengembangkan program peningkatan secara kontinu bagi
Perangkat yang menjadi semakin terotomasi dan terintegrasi digunakan dalam proses review kendali internal, dengan peningkatan penggunaan kendali dan analisis kuantitatif.
Sebuah fungsi kendali formal untuk internal TI telah dibentuk, dengan profesional bersertifikat dan memiliki spesialisasi memanfaatkan framework kendali formal yang disahkan oleh manajemen senior.
Organisasi menggunakan perangkat state of the art yang terintegrasi
Sharing pengetahuan telah diformalkan dan program pelatihan
Tanggungjawab untuk menilai ketersediaan kontrol internal didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini. Tanggung jawab untuk menilai ketersediaan kontrol internal ditetapkan
Manajemen telah mengembangkan benchmarking dan pencapaian kuantitatif untuk proses review kendali internal. Benchmarking terhadap standar industri dan pengembangan pelaksanaan terbaik sedang diformalkan.
Framework kendali TI tidak hanya melibatkan permasalahan teknis,
292
langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam menilai ketersediaan kontrol internal yang juga merupakan peluang pengembangan kedepan.
organisasi yang mempertimbangkan hal-hal yang dipelajari dan pelaksanaan terbaik industri untuk pengawasan kendali internal.
dan diperbaharui apabila diperlukan.
formal yang spesifik untuk fungsi layanan informasi telah diterapkan.
secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
namun terintegrasi dengan metodologi dan framework organisasi untuk memastikan konsistensi dengan pencapaian organisasi.
293
Matriks Atribut Kematangan pada Proses Memperoleh Jaminan Independen (M3) Kepedulian dan komunikasi
Kebijakan, standar dan prosedur
0
Tidak ada kepedulian dan komunikasi untuk memperoleh jaminan independen.
1
Organisasi mulai menyadari adanya kebutuhan untuk memperoleh jaminan independen. Proses memperoleh jaminan independen.merupaka n permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan.
Kebijakan keamanan tidak diterapkan. Manajemen tidak menjalankan program sertifikasi atau penjaminan. Organisasi tidak memiliki proses penjaminan yang sesuai. Sertifikasi dan penjaminan dikendalikan oleh halhal seperti perubahan regulasi, kebutuhan atau permintaan pelanggan. Organisasi mengelola proses-proses TI secara independen. Proses penjaminan dan sertifikasi ditujukan atas dasar pengecualian.
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Tidak ada perangkat untuk memperoleh jaminan independen.
Tidak ada pelatihan untuk memperoleh jaminan independen.
Tidak ada tanggung jawab dan akuntabilitas dalam memperoleh jaminan independen.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
Proses penjaminan dilakukan secara reaktif melalui penugasan atau oleh spesialis teknis yang tidak memiliki keahlian penjaminan khusus.
Tanggungjawab untuk memperoleh jaminan independen masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Penentuan dan pengukuran pencapaian SLA belum dikembangkan dan proses tidak terukur.
Tujuan memperoleh jaminan independen belum jelas dan belum ada pengukuran yang dilakukan.
294
2
Manajemen senior mendukung dan memiliki komitmen atas jaminan independen.
3
Manajemen telah melakukan review
Persyaratan penjaminan masih terkait dengan persyaratan dan kebutuhan bisnis serta dipicu oleh fungsi layanan sistem informasi. Proses untuk memilih sumberdaya internal atau eksternal sedang diformalisasi. Manajemen fungsi layanan informasi telah menerapkan prosesproses untuk mengelola aktifitas penjaminan. Fungsi layanan informasi memberikan penilaian resiko untuk mengidentifikasi resiko keamanan sistem. Manajemen resiko sebagai bagian dari manajemen fungsi layanan informasi, memicu program sertifikasi dan penjaminan. Organisasi telah mendefinisikan dan
Metode dan teknik dikembangkan untuk sertifikasi dan penjaminan dan sedang dilakukan benchmarking untuk mengembangkan pelaksanaan terbaik.
Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam memperoleh jaminan independen. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
Tanggung jawab untuk memperoleh jaminan independen secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan terkait dengan memperoleh jaminan independen, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
Aktivitas pengawasan dalam memperoleh jaminan independen mulai dilakukan walaupun masih belum secara konsisten terutama pada aktivitas penting seperti backup, restorasi, dan penghapusan.
Adanya rencana penggunaan
Telah dikembangkan basis
Proses-proses utama TI telah disertifikasi.
Beberapa tujuan dan pengukuran
295
partisipatif terhadap seluruh tindakan penjaminan. Manajemen diluar fungsi layanan informasi telah teribat secara proaktif dalam review penjaminan dan sertifikasi.
4
Kebutuhan bagi memperoleh jaminan independen secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan
menerapkan prosesproses untuk aktivitas penjaminan TI dan kriteria untuk menggunakan sumberdaya internal dan eksternal berdasarkan tingkat kepakaran, sensitivitas dan independensi yang diperlukan. Proses penjaminan mencakup persyaratan legal dan regulasi, kebutuhan sertifikasi, efektifitas organisasi secara umum dan identifikasi pelaksanaan terbaik. Manajemen telah menerapkan prosesproses penjaminan untuk memastikan bahwa proses-proses TI telah teridentifikasi dan memiliki perencanaan penjaminan spesifik. Proses penjaminan dikelola dan dikendalikan secara
perangkat standar untuk melakukan otomasi dalam memperoleh jaminan independen. Telah digunakan beberapa perangkat untuk keperluan backup/restorasi serta penghapusan peralatan/media namun masih belum terintegrasi.
pengetahuan untuk pelaksanaan terbaik sertifikasi dan pelaksanaan.
Persyaratan penjaminan telah dikembangkan untuk proses-proses TI.
dalam memperoleh jaminan independen telah ditetapkan, walaupun belum dikomunikasikan. Ada kaitan yang jelas dengan tujuan bisnis. Pengukuran proses mulai dilakukan walaupun masih belum konsisten. IT balanced scorecard mulai diterapkan dalam pengukuran kinerja dasar. Pengawasan telah dilakukan.
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang
Manajemen menggunakan halhal yang dipelajari dari proses-proses sertifikasi dan penjaminan untuk meningkatkan proses-proses lainnya, berdasarkan hal-hal yang telah dipelajari.
Tanggungjawab dalam memperoleh jaminan independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan
Kriteria biaya/manfaat untuk melakukan penilaian berbasis internal/eksternal telah didefinisikan.
296
5
untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam memperoleh jaminan independen.
kuantitatif. Proses-proses TI direview dalam konteks proses bisnis yang didukungnya.
lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam memperoleh jaminan independen.
Manajemen telah mengembangkan kemampuan untuk dengan cepat mengintegrasikan hasil kegiatan penjaminan dan
Terdapat strategi yang terdefinisi secara formal, didukung oleh manajemen senior, untuk mengembangkan kepatuhan terhadap standar nasional dan
Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat
Basis pengetahuan digunakan untuk memastikan bahwa pelaksanaan terbaik digunakan dalam proses-proses yang baru dan untuk melakukan benchmark pada proses-proses lainnya. Sebuah proses formal ditujukan untuk memastikan kompetensi fungsi penjaminan dengan mengevaluasi keseimbangan antara keahlian dan pengetahuan yang tersedia secara internal/eksternal secara kontinu. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan.
perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
Tanggung jawab untuk memperoleh jaminan independen ditetapkan secara jelas, diketahui secara luas di organisasi, serta
Manajemen telah menerapkan ukuran untuk memastikan bahwa seluruh proses bisnis kritis memiliki proses penjaminan di
297
sertifikasi kedalam proses-proses di organisasi.
internasional dan untuk memperoleh sertifikasi yang dipandang sebagai sumber pengakuan dan keuntungan kompetitif. Organisasi telah memiliki program peningkatan secara kontinu untuk proses penjaminan dan sertifikasi yang menggambarkan pelaksanaan terbaik industri.
digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk memperoleh jaminan independen telah dilembagakan. Sharing pengetahuan telah menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan.
diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
seluruh infrastruktur TI pendukungnya. Efektivitas penyedia layanan pihak ketiga dan hubungan dengan rekan bisnis dievaluasi secara rutin.
298
Matriks Atribut Kematangan pada Proses Melakukan Audit Independen (M4) Kepedulian dan komunikasi 0
Manajemen tidak memiliki kepedulian akan pentingnya fungsi audit independen.
1
Organisasi mulai menyadari adanya kebutuhan untuk melakukan audit independen. Proses audit independen merupakan permasalahan yang sedang berkembang sebagai suatu wacana yang sedang hangat dibicarakan. Keterlibatan manajemen masih sangat minim. Perhatian dan keterlibatan manajemen TI pada
2
Kebijakan, standar dan prosedur
Perangkat dan otomasi
Keahlian dan kepakaran
Tanggung jawab dan akuntabilitas
Penentuan dan pengukuran pencapaian Tidak ada penentuan dan pengukuran pencapaian melakukan audit independen.
Audit independen tidak dilakukan. Tidak ada kebijakan, standar dan prosedur untuk melakukan audit independen. Sebuah fungsi audit TI informal telah dilakukan dengan disertai review independen secara berkala. Tidak ada perencanaan keseluruhan untuk melakukan audit independen dan tidak ada koordinasi antara setiap review.
Tidak ada perangkat untuk melakukan audit independen.
Tidak ada pelatihan untuk melakukan audit independen.
Tidak ada tanggung jawab dan akuntabilitas dalam melakukan audit independen.
Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat software.
Perencanaan, pengelolaan dan pelaporan audit independen didasarkan pada kepakaran individu.
Tanggungjawab Untuk melakukan audit independen masih tidak jelas dan belum didefinisikan. Tanggungjawab dilakukan secara reaktif dan atas dasar inisiatif perorangan.
Kualitas perencanaan dan pelaksanaan layanan audit sangat rendah, dengan hasil yang beragam.
Keberadaan fungsi audit independen diakui manajemen
Telah digunakannya perangkat untuk membantu proses
Kebutuhan keahlian minimal telah diidentifikasi untuk
Tanggung jawab untuk melakukan audit independen
Koordinasi antara pelaksanaan audit masih sangat minim
299
proses audit tidak konsisten dan tergantung pada kualitas yang diperoleh dari tim audit khusus.
3
Manajemen audit telah mengidentifikasi dan memahami inisiatif dan lingkungan TI. Manajemen TI perduli terhadap kebutuhan untuk melakukan audit independen.
sebagai sesuatu yang bermanfaat, namun tidak ada kebijakan tertulis untuk mendefinisikan tujuan, otoritas, dan tanggung jawab. Manajemen senior tidak mengembangkan sebuah infrastruktur dan proses untuk memastikan bahwa audit independen dilakukan secara teratur. Kontrak untuk fungsi audit TI dibuat oleh manajemen senior dan dilanjutkan dengan memberikan kebebasan dan otoritas dari fungsi audit. Sebuah proses dilakukan untuk merencanakan dan mengelola audit. Staf audit diharapkan dapat mematuhi standar audit, namun hasilnya dapat bervariasi.
audit independen sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahlian nya dan dibantu oleh vendor.
menangani permasalahan kritis dalam melakukan audit independen. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu.
secara informal telah diterapkan oleh perorangan. Bila terjadi permasalahan dalam melakukan audit independen, tidak ada kejelasan mengenai pihak mana yang harus bertanggung jawab sehingga muncul kecenderungan saling menyalahkan.
dan tindak lanjut dari temuan pada audit sebelumnya masih terbatas.
Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam melakukan audit independen. Telah digunakan beberapa perangkat namun masih belum terintegrasi.
Manajemen TI tidak selalu terpuaskan dengan kualitas yang diberikan dan tidak memiliki kepercayaan bahwa fungsi audit memiliki pengetahuan yang cukup untuk membuat rekomendasi yang valid.
Tanggungjawab untuk melakukan audit independen telah ditetapkan serta permasalahan yang terjadi dikendalikan oleh pihak yang bertanggung jawab. Namun pemilik proses belum dipercaya secara penuh dalam menjalankan perannya.
Resolusi atas komentar audit telah dilakukan, namun seringkali terdapat tindak lanjut dan penyelesaian yang buruk. Elemen dasar dari jaminan kualitas dilakukan untuk memastikan bahwa pelaksanaan telah sesuai dengan standar audit yang dapat diterapkan dan
300
Fungsi TI, keuangan dan audit proses tidak terintegrasi. 4
Kebutuhan untuk melakukan audit independen secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam melakukan audit independen. Manajemen TI umumnya dilibatkan secara positif dalam keseluruhan proses audit.
Proses audit dapat disesuaikan dengan kesepakatan khusus. Perencanaan audit berbasis resiko strategis dan operasional telah dilakukan, berdasarkan pada penilaian kebutuhan saat ini dan di masa depan. Perencanaan audit individu dikembangkan berdasarkan siklus perencanaan operasional dan ketersediaan sumberdaya. Audit dikoordinasikan dan diintegrasikan dengan audit proses dan keuangan yang terkait. Fungsi jaminan kualitas yang terstruktur memfasilitasi manajemen kuantitatif
Penggunaan perangkat terkini telah mulai dimanfaatkan sesuai rencana standardisasi penggunaan perangkat. Beberapa perangkat telah terintegrasi dengan perangkat yang lainnya. Perangkat tersebut digunakan untuk mengotomasikan proses utama dalam melakukan audit independen.
Telah dibentuk dasar pengetahuan proses dan dikembangkan untuk memastikan bahwa penilaian kualitas dapat dilakukan dan dihasilkan rekomendasi yang berguna.
Tanggungjawab untuk melakukan audit independen didefinisikan secara jelas, ditetapkan dan dikomunikasikan dalam organisasi. Hal demikian mendukung pemilik proses dalam menjalankan perannya dengan baik. Ada budaya untuk memberikan penghargaan sebagai upaya memotivasi peran ini.
untuk meningkatkan efektivitas dari aktivitas fungsi audit. Hasil dilaporkan pada manajemen dan dilakukan tindak lanjut untuk memastikan bahwa manajemen telah mengambil tindakan korektif pada permasalahan kritis yang diidentifikasi melalui audit. Hasil audit digunakan untuk meningkatkan kinerja.
301
5
Fungsi audit independen mampu segera merespon kepedulian manajemen yang terkait dengan proses bisnis dan permasalahan resiko kendali TI organisasi secara kontinu.
dan kendali proses audit. Fungsi audit TI dilibatkan dalam pengembangan tindakan korektif dan dalam pelaksanaan proyek untuk memastikan bahwa kendali dibuat ke dalam proses. Perencanaan audit sangat terintegrasi dengan strategi bisnis dan TI. Proses-proses audit diawasi dan dianalisa untuk melakukan perbaikan dalam menyesuaikan terhadapa kondisi lingkungan yang selalu berubah-ubah. Audit dilibatkan dalam pengembangan perencanaan bisnis dan dalam semua proyek yang mendukung perencanaan bisnis, untuk memastikan
Perangkat yang canggih digunakan dengan otomasi secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi.
Sharing pengetahuan menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan keahlian secara berkelanjutan. Pelatihan dan pembelajaran
Tanggung jawab untuk melakukan audit independen ditetapkan secara jelas, diketahui secara luas di organisasi, serta diupdate secara periodik. Pemilik proses diberdayakan sehingga dapat membuat keputusan dan melakukan tindakan yang diperlukan.
Aktivitas pengawasan kuantitatif dimasukkan dalam komunitas audit dan mempertimbangkan state of the art pelaksanaan terbaik industri dan kecenderungan eksternal dalam menyesuaikan proses audit. Hasil audit dikonsultasikan di seluruh proyek sebagai saran bagi bisnis dan kendali.
302
bahwa kendali yang sesuai dilakukan ke dalam seluruh proses.
mendukung external best practices serta telah menggunakan konsep dan teknik terkini.
303 Rencana Perubahan
Ringkasan Eksekutif Bagian ini akan membahas mengenai rencana perubahan dalam melakukan implementasi tata kelola TI di PT. Surveyor Indonesia.
Pendahuluan dan Latar Belakang Dalam implementasi proyek umumnya terdapat hal-hal yang menyimpang dari target jadwal pelaksanaan dan biaya maupun kualitas yang telah direncanakan. Oleh karena itu perlu disusun sebuah rencana perubahan untuk mengantisipasi terjadinya penyimpangan-penyimpangan tersebut. Prosedur dan strategi manajemen perubahan dilakukan untuk mengantisipasi hal-hal berikut ini : a. Penyesuaian ataupun perbaikan dan kebutuhan-kebutuhan organisasi atau stakeholder. b. Penyesuaian terhadap resiko-resiko yang telah diidentifikasi dalam perencanaan proyek. c. Perubahan dari target penyelesaian maupun pembiayaan proyek. d. Kesulitan maupun hambatan-hambatan yang tidak terdeteksi pada saat perencanaan.
Ringkasan tujuan bisnis Tujuan bisnis dari perencanaan perubahan adalah untuk mengantisipasi terjadinya penyimpangan, error dan perubahan yang tidak diharapkan.
Kebutuhan migrasi Migrasi pengoperasian sistem akan dilakukan sesuai dengan kebutuhan dan akan dikomunikasikan kepada seluruh pihak yang terlibat.
Konversi Konversi dalam pengoperasian sistem sedapat mungkin dicegah dan hanya akan dilakukan apabila diperlukan.
304 Pengujian Perubahan yang direncanakan harus melalui sebuah tahapan pengujian untuk mengetahui resiko yang akan dihadapi dari pelaksanaan perubahan tersebut.
Pelatihan Pelatihan akan dilakukan apabila terdapat perubahan yang memerlukan keahlian spesifik dalam melakukan pengoperasian.
Rekayasa ulang proses Rekayasa ulang proses pengoperasian dilakukan dengan mengeliminasi proses-proses yang tidak memiliki nilai tambah (added value) pada prosedur pengoperasian yang baru.
305 Pelaporan kinerja
Ringkasan eksekutif Bagian ini akan membahas mengenai pelaporan kinerja dari proyek implementasi tata kelola IT di PT. Surveyor Indonesia.
Pendahuluan dan Latar Belakang Peningkatan kinerja dalam proyek implementasi tata kelola TI dapat diawasi melalui pelaporan KGI dan KPI dalam sebuah format balanced scorecard untuk memastikan bahwa inisiatif tidak menyimpang dari tujuan bisnis dan TI yang sebenarnya dan tetap menghasilkan manfaat bisnis yang diharapkan.
Ringkasan pencapaian bisnis Untuk menjaga kualitas pelaksanaan dan kinerja proyek sesuai dengan ketentuanketentuan manajemen proyek yang berlaku secara ketat dan konsisten.
Tujuan di periode sebelumnya Peningkatan kinerja pengelolaan operasi dengan melakukan penempatan staf operasional TI di masing-masing unit fungsional.
Ringkasan kinerja di periode sebelumnya •
Pencapaian yang berhasil dicapai Staf operasional TI yang ditempatkan di masing-masing unit fungsional tersebut berhasil menangani permasalahan perngoperasian dengan lebih cepat dari sebelumnya.
•
Pencapaian yang gagal dicapai Preventive maintenance dan network service management hanya dilakukan secara ad-hoc atau tentatif.
•
Pelajaran yang dapat diambil Tidak adanya koordinasi yang jelas antara staf operasional TI yang bertugas di masing-masing unit fungsional sehingga penanganan permasalahan maintenance dan network service management hanya dilakukan secara ad-hoc atau tentatif, tanpa adanya solusi yang terstruktur dan terdokumentasi.
•
Rekomendasi tindakan
306 Setiap staf pengoperasian diharapkan dapat saling berkoordinasi dalam melakukan penanganan permasalahan sehingga terdapat sebuah prosedur penanganan yang terstruktur dan terdokumentasi. •
Tindakan yang diterapkan 1.
Dibentuk garis koordinasi dan tanggung jawab yang jelas antara staf operasional di setiap unit fungsional dan seorang koordinator yang ditempatkan di unit TI.
2.
Dokumentasi atas setiap permasalahan pengoperasian yang dihadapi dan prosedur penanganan yang dilakukan, sehingga memudahkan apabila terjadi permasalahan serupa.
Rekomendasi untuk program tata kelola a.
Kebutuhan bagi Pengelolaan operasi secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi.
b.
Penyimpangan dari norma-norma yang ada diselesaikan dan dikoreksi dengan cepat.
c.
Dibuat kesepakatan layanan dan perawatan formal dengan vendor.
d.
Operasi didukung melalui anggaran sumberdaya untuk pengeluaran modal dan sumberdaya manusia.
e.
Penggunaan sumberdaya operasi dioptimalkan dan penyelesaian pekerjaan atau tugas yang telah ditetapkan.
f.
Terdapat upaya untuk meningkatkan tingkat otomasi proses sebagai alat untuk memastikan peningkatan secara kontinu.
g.
Pelatihan dijalankan dan diformalkan, sebagai bagian dari pengembangan karir.
h.
Tanggung jawab dukungan dan pengoperasian komputer didefinisikan dengan jelas dan kepemilikannya ditetapkan.
i.
Jadwal dan tugas didokumentasikan dan dikomunikasikan ke fungsi TI dan klien bisnis.
j.
Dilakukan
penyesuaian
dengan
permasalahan
dan
proses
manajemen
ketersediaan yang didukung oleh analisis penyebab kegagalan dan error. k.
Pengukuran dan pengawasan aktifitas harian dilakukan dengan tingkat layanan dan kesepakatan kinerja yang telah distandarisasi.
Kebijakan Tata Kelola Teknologi Informasi
307
Surveyor Indonesia
LAMPIRAN E –KEBIJAKAN DAN PEDOMAN PENGELOLAAN TI PT. SURVEYOR INDONESIA
I.
PENDAHULUAN Dalam melakukan pengelolaan TI PT. Surveyor Indonesia dibutuhkan sebuah model pengelolaan yang dapat dijadikan acuan, sesuai dengan strategi dan tujuan perusahaan dan dapat digunakan untuk mengatasi permasalahanpermasalahan yang terjadi di PT. Surveyor Indonesia. Usulan model pengelolaan TI PT. Surveyor Indonesia disusun untuk domain Delivery & Support dan Monitoring COBIT.
Model pengelolaan TI tidak mencakup seluruh proses-proses yang ada di kedua domain tersebut. Proses yang akan diprioritaskan dalam model pengelolaan tersebut akan dipilih berdasarkan proses yang memiliki tingkat kematangan yang paling kecil dan ekspektasi manajemen yang paling besar. Hasil pengamatan menunjukkan bahwa proses DS13 (mengelola operasi) merupakan proses yang memiliki tingkat kematangan yang paling kecil. Sehingga model pengelolaan TI PT Surveyor Indonesia akan dibuat untuk proses DS13 tersebut. Kebijakan dan pedoman pengelolaan operasi merupakan salah satu komponen dari usulan model pengelolaan TI yang akan diuraikan secara detail dalam dokumen kebijakan ini.
1.1 Tujuan Tujuan dari pengelolaan TI PT. Surveyor Indonesia adalah untuk memberikan arahan pemanfaatan TI agar dapat menjamin kinerja TI dapat memenuhi tujuan penyelarasan TI dengan tujuan PT. Surveyor Indonesia dan dapat merealisasikan keuntungan yang dijanjikan. Disamping itu TI juga harus membantu PT. Surveyor Indonesia dalam menciptakan peluang-peluang baru dan memaksimalkan keuntungan. Sumberdaya TI harus digunakan secara optimal dan resiko yang berkaitan dengan TI harus dikelola dengan baik.
Rev : 00
Halaman 1 dari 7
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
308
1.2 Ruang Lingkup Kebijakan pengelolaan teknologi informasi ini akan digunakan sebagai acuan dan memberikan arahan kepada seluruh unit dalam pengaturan dan
penggunaan
TI
dengan
mempertimbangkan
efektifitas
dan
efisiensinya khususnya dalam hal pengelolaan operasi TI di PT. Surveyor Indonesia. 1.3 Tanggung Jawab dan Wewenang a.
Unit Teknologi Informasi a.1
Sebagai
unit
pembantu
bertanggung
jawab
perusahaan
menjadi
Direksi
untuk
yang
berwenang
menterjemahkan
kebijakan
dan
kebijakan
pengelolaan
teknologi
informasi, sekaligus menjaga agar pelaksanaan kebijakan Direksi oleh cabang,
SBU, Divisi dan unit lainya
tidak
menyimpang dari batasan-batasan yang telah ditetapkan, khususnya dalam aspek pengelolaan operasi TI. a.2
Unit TI berwenang dan bertanggung jawab untuk melakukan pengelolaan terhadap pengoperasian TI di PT. Surveyor Indonesia.
a.3
Unit TI berwenang melakukan pengawasan dan quality assurance yang bersifat teknis terhadap pengelolaan operasi TI di PT. Surveyor Indonesia.
a.4
Seluruh kebijakan pengelolaan operasi ini akan dituangkan secara detail dalam bentuk SOP (Standard Operating Procedure).
b. Divisi, Cabang, SBU dan Unit Sebagai pengguna teknologi informasi harus menjalankan kebijakan pengelolaan teknologi informasi, guna mendukung pencapaian tujuan perusahaan, baik yang bersifat jangka pendek maupun jangka panjang. c.
Koordinasi Kerja Dengan Unit Terkait Unit TI wajib berkoordinasi dengan unit kerja terkait dalam melakukan pengelolaan operasi terutama yang erat hubungannya dengan tanggung jawab dan wewenang unit kerja tersebut.
Rev : 00
Halaman 2 dari 7
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
309
II. KEBIJAKAN DAN PEDOMAN PENGELOLAAN OPERASI 2.1 Pedoman pemrosesan prosedur operasi dan manual instruksi 2.1.1
Unit TI harus membentuk dan mendokumentasikan prosedurprosedur standar untuk operasi-operasi TI, termasuk di dalamnya prosedur pengoperasian jaringan.
2.1.2
Seluruh solusi dan platform TI yang ada harus dioperasikan menggunakan prosedur-prosedur tersebut, dan direview secara berkala untuk tetap memastikan efektifitas dan kesesuaiannya.
Rincian dari pedoman pemrosesan prosedur operasi dan manual instruksi adalah :
a.
Unit TI harus menyusun kebijakan dan prosedur perusahaan mengenai pengelolaan operasi dan peran sistem informasi dalam memenuhi pencapaian bisnis
b.
Unit TI harus menyusun kebijakan dan prosedur TI mengenai peran operasional, ekspektasi kinerja, penjadwalan pekerjaan, SLA, instruksi operator, pergantian staf, rencana kelangsungan dan operasi fasilitas jarak jauh
c.
Unit TI harus menyusun instruksi operasi untuk fungsi umum startup, shut down, penjadwalan beban kerja, standar, SLA, prosedur perbaikan darurat, respon pemrosesan yang tidak normal, log console, keamanan fisik dan logik, pemisahan pengembangan dan produksi library serta prosedur eskalasi permasalahan
d.
Unit TI harus menyusun instruksi operasional untuk aplikasi utama yang meliputi : jadwal, input, waktu pemrosesan, pesan error, instruksi
penghentian
abnormal,
restart,
prosedur
eskalasi
permasalahan, pekerjaan sebelum dan sesudahnya, serta off-site files
e.
Unit TI harus melakukan review terhadap beberapa manual operasi TI dan mengevaluasi kesesuaiannya dengan kebutuhan prosedur dan kebijakan
f.
Operator
harus
melakukan
pengujian
prosedur
eskalasi
permasalahan
g.
Operator harus melakukan pengujian prosedur pengoperasian sesuai dengan pembagian tanggung jawab
Rev : 00
Halaman 3 dari 7
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
h.
310
Operator harus melakukan pengujian prosedur pergantian untuk memindahkan program pengembangan ke dalam produksi
2.2
Pedoman dokumentasi proses start-up dan operasi lainnya Unit TI harus memastikan bahwa staf operasi telah cukup mengenal dan tidak
meragukan
proses
start-up
dan
operasi
lainnya
dengan
mendokumentasikannya, mengujinya secara berkala dan melakukan penyesuaian apabila dibutuhkan. Rincian dari pedoman dokumentasi proses start-up dan operasi lainnya adalah :
a.
Operator
harus
mendokumentsikan
kelengkapan
seluruh
pemrosesan, cold start, restart dan recovery
b.
Operator harus mendokumentasikan kesesuaian prosedur shut down dan initial programme load (IPL)
c.
Operator harus melakukan pengujian terhadap dokumentasi dan pengalaman dalam hal proses start-up dan shut down untuk mengkonfirmasikan bahwa prosedur telah diuji dan diupdate secara rutin
2.3
Pedoman penjadwalan pekerjaan 2.3.1
Unit TI mengatur penjadwalan pekerjaan, proses dan tugastugas secara berkesinambungan dalam tahapan yang paling efisien, serta memanfaatkannya untuk memenuhi tujuan yang ditetapkan dalam SLA.
2.3.2
Penjadwalan awal dan perubahannya harus ditetapkan dengan baik.
Rincian dari pedoman penjadwalan pekerjaan adalah :
a.
Operator harus melakukan pergantian shift dan masa istirahat dengan tetap menjaga kompetensi
b.
Operator
harus
mengkomunikasikan
perubahan
shift
dan
tanggung jawab dalam shift yang sama 2.4
Pedoman kesesuaian kegiatan operasi dengan jadwal pekerjaan Unit TI harus menyusun prosedur untuk mengidentifikasi, menginvestigasi dan menyetujui kesesuaian kegiatan operasi sistem dengan jadwal pekerjaan, yaitu dengan melakukan hal-hal berikut ini :
Rev : 00
Halaman 4 dari 7
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
a.
311
Operator harus melakukan pengujian jadwal pemrosesan untuk memastikan tercapainya kinerja sesuai jadwal
b.
Operator harus membuat statistik pemenuhan jadwal untuk mengkonfirmasikan seluruh kebutuhan operasi
2.5
Pedoman kesinambungan pemrosesan Unit TI harus membuat prosedur untuk menjaga kesinambungan pemrosesan
selama
pergantian
operator
dengan
menyediakan
penyerahan aktifitas, pembaharuan status dan pelaporan tanggung jawab. Rincian dari pedoman kesinambungan pemrosesan adalah :
a.
Operator harus melakukan perawatan untuk seluruh peralatan secara berkala
b.
Operator harus meminta feedback dari user untuk menentukan pemenuhan komitmen SLA
c.
Operator harus mengidentifikasi kasus penghentian pekerjaan secara abnormal dan menentukan resolusi permasalahan yang terjadi
d.
Operator harus memastikan tercapainya kinerja operasi yang terkait sesuai dengan aktivitas yang sedang berjalan dan SLA
e.
Unit
TI
harus
menentukan
tanggung
jawab
dalam
mengkomunikasikan peluang peningkatan produktivitas kepada manajemen
f.
Operator harus melakukan simulasi perbaikan program dalam kondisi darurat dan menyusun prosedur restart/recovery untuk program tersebut
g.
Operator harus ekspektasi kinerja dalam hal-hal seperti aturan vendor, standar organisasi dan SLA
h.
Operator
harus
membuat
statistik
kinerja
untuk
kegiatan
operasional yang mencakup hal-hal beikut ini :
−
Kapasitas,
pemanfaatan
dan
kinerja
peripheral
Rev : 00
−
Pemanfaatan dan kinerja memori
−
Pemanfaatan dan kinerja telekomunikasi
Halaman 5 dari 7
hardware
dan
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
i.
312
Operator
harus
melakukan
peningkatan
kinerja
melalui
penyesuaian terhadap norma kinerja produk, standar kinerja dan komitmen SLA pengguna yang didefinisikan secara internal
j.
Operator harus menyusun prosedur perawatan secara preventif untuk seluruh peralatan dengan mempertimbangkan saran dari vendor yang terkait
k.
Operator
harus
melakukan
sharing
mengenai
pengalaman
pelatihan operator serta pergantian shift dan masa istirahat 2.6
Pedoman log operasi Operator harus menyediakan informasi kronologis yang disimpan dalam log operasi untuk mendukung rekonstruksi, review dan pengujian tahapan waktu pemrosesan dan aktifitas lainnya yang mendukung atau menyertai aktivitas pemrosesan. Rincian dari pedoman log operasi adalah :
a.
Operator harus melakukan maintenance, pencatatan dan review terhadap log operasi secara parsial
b.
Operator harus menentukan kebutuhan proses log operasi dan review manajemen
c.
Operator
harus
menentukan
contoh
log
console
untuk
mengidentifikasi akurasi, tren dalam review manajerial dan kinerja untuk mengatasi permasalahan, serta mengevaluasi eskalasi permasalahan yang diperlukan
2.7
Pedoman form khusus pengamanan dan perangkat keluaran Unit TI harus menyediakan fasilitas pengamanan fisik yang sesuai dalam bentuk-bentuk tertentu, seperti instrumen-instrumen tertentu, dan dalam perangkat keluaran yang sensitif seperti cap tanda tangan, yang mempertimbangkan pembukuan sumberdaya TI dan form atau barangbarang
yang
memerlukan
perlindungan
khusus
dan
manajemen
inventaris dengan baik. Rincian dari pedoman form khusus pengamanan dan perangkat keluaran adalah :
a.
Operator harus melakukan review terhadap statistik kinerja operasi (peralatan dan personil) untuk memastikan pemanfaatan yang
Rev : 00
Halaman 6 dari 7
Kebijakan Tata Kelola Teknologi Informasi Surveyor Indonesia
313
optimal; membandingkan dengan perusahaan sejenis, aturan vendor, best practice industri dan standar internasional yang tepat
b.
Operator harus elakukan pemisahan fisik dan logik antara source dan
object,
library
pengujian/ pengembangan/produksi
dan
prosedur kendali perubahan untuk perpindahan program diantara library 2.8
Pedoman operasi jarak jauh Prosedur operasi jarak jauh yang spesifik harus mendefinisikan dan menerapkan sambungan dan pemutusan hubungan ke lokasi yang berjauhan. Rincian dari pedoman operasi jarak jauh adalah :
a.
Unit TI harus melakukan pengujian interaksi dengan fasilitas pemrosesan jarak jauh dan fasilitas pemrosesan pusat
b.
Unit TI harus menyusun kebijakan dan prosedur TI mengenai rencana kelangsungan dan operasi fasilitas jarak jauh
III. PENGAWASAN DAN REVISI KEBIJAKAN 3.1
Pengawasan kebijakan Unit TI harus melakukan pengawasan secara berkala terhadap kepatuhan atas kebijakan ini.
3.2
Revisi kebijakan Kebijakan ini harus direvisi setiap periode 1 (satu) tahun oleh Unit TI atau mengikuti kondisi lingkungan bisnis PT. Surveyor Indonesia yang berakibat terhadap perubahan kebijakan TI.
Rev : 00
Halaman 7 dari 7
SURVEYOR INDONESIA 314
UNIT TEKNOLOGI INFORMASI
LAMPIRAN F – CONTOH SOP LOG OPERASI
PROSEDUR LOG OPERASI NO : UNIT TI-SPO-01 Tanggal terbit
31 Mei 2008
Document Status Revisi
Copy No.
Master 00
DISIAPKAN
DI REVIEW
DISETUJUI
TRAINEE
KA. UNIT TI
KA.UNIT TI
Catatan: Hanya Controlled copies yang menerima update
Amandemen: Tanggal Perubahan
Versi
Rincian Perubahan
DAFTAR DISTRIBUSI NO
1. PEMEGANG DOKUMEN
STATUS DOKUMEN
01
KA.UNIT TI
Master
02
KOORDINATOR OPERASI
Copy
No. Dokumen: UNIT IT-SPO-01
No. Revisi: 00
COPY NO.
1
Halaman 1 dari 4
315
Surveyor Indonesia - UNIT TI
Log Operasi
1. Pendahuluan SOP (Standard Operating Procedure) log operasi merupakan serangkaian instruksi yang memiliki kekuatan sebagai suatu petunjuk atau bersifat direktif dalam melakukan kegiatan log operasi di PT Surveyor Indonesia. SOP log operasi mencakup hal-hal dari log operasi yang memiliki suatu prosedur yang terstandardisasi dengan tetap menjaga efektifitasnya.
2. Tujuan SOP log operasi bertujuan untuk memberikan panduan dalam melakukan kegiatan log operasi di PT Surveyor Indonesia.
3. Ruang Lingkup 3.1.
Batasan-batasan Prosedur Prosedur ini digunakan sebagai acuan dalam kegiatan log operasi yang harus diterapkan di PT Surveyor Indonesia.
3.2.
Tanggung jawab 3.2.1.
Kepala UNIT TI bertanggung jawab untuk mengkoordinasikan seluruh kegiatan operasi
3.2.2.
Koordinator operasi bertanggung jawab terhadap seluruh kegiatan log operasi
3.2.3.
Operator bertanggung jawab terhadap seluruh pelaksanaan teknis log operasi
3.2.4.
Administrator bertanggung jawab untuk melaksanakan pemantauan log operasi
No. Dokumen: UNIT IT-SPO-01
No. Revisi: 00
Halaman 2 dari 4
Surveyor Indonesia - UNIT TI
Log Operasi
316
4. Definisi-definisi 4.1.
UNIT TI : Unit Teknologi Informasi PT. Surveyor Indonesia
4.2.
User : pengguna komputer di lingkungan kantor pusat PTSI
4.3.
Log operasi : pencatatan mengenai keberhasilan/kegagalan, apa yang telah dikerjakan atau tidak dikerjakan, mengapa, dan kapan dalam pengoperasian sistem
5. Kegiatan Prosedur Log Operasi 5.1.
Menentukan prosedur log operasi untuk seluruh operasi sistem di PT. Surveyor Indonesia
5.2.
Memastikan log operasi menjamin tersedianya informasi kronologis mengenai keberhasilan/kegagalan, apa yang telah dikerjakan atau tidak dikerjakan, mengapa, dan kapan dalam hal pengoperasian sistem
5.3.
Melakukan pemantauan log operasi dilakukan pada saat berlangsungnya operasi oleh administrator
5.4.
Melakukan pengecekan log operasi apabila terdapat insiden tertentu atau log failure dalam pengoperasian sistem
5.5.
Melakukan evaluasi log operasi pada saat berakhirnya periode pengecekan harian yaitu setiap pukul 17.30
5.6.
Menyerahkan laporan log operasi pada setiap hari jumat setiap minggunya dan ditujukan langsung kepada koordinator operasi yang telah ditunjuk untuk dipertanggung jawabkan kepada Kepala Unit TI
No. Dokumen: UNIT IT-SPO-01
No. Revisi: 00
Halaman 3 dari 4
317
Surveyor Indonesia - UNIT TI
Log Operasi
6. Dokumen lain yang terkait 6.1.
Diagram pengoperasian
6.2.
Jadwal operasi
6.3.
Ketentuan log operasi
7. Komunikasi User dapat melakukan kontak langsung kepada Unit TI di alamat : Unit Teknologi Informasi PT Surveyor Indonesia Adhi Graha 6th floor Jl. Jenderal Gatot Subroto Kav. 56 Jakarta 12950 Telepon : (021) 5265526 ext. 604 Fax (021) 5265525 E-mail :
[email protected]
No. Dokumen: UNIT IT-SPO-01
No. Revisi: 00
Halaman 4 dari 4
