UNIVERSITAS INDONESIA
EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS PT BURSA EFEK INDONESIA
KARYA AKHIR
HUSNUL HIDAYAT 1106121780
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
UNIVERSITAS INDONESIA
EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS PT BURSA EFEK INDONESIA
KARYA AKHIR
Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi
HUSNUL HIDAYAT 1106121780
FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
KATA PENGANTAR Tak ada kata yang terucap selain Syukur Alhamdulillah atas segala petunjuk, pertolongan, kemudahan, kasih sayang, dan ridho Allah SWT, sehingga penulis dapat menyelesaikan laporan tugas akhir dengan judul “Evaluasi dan Analisis Tingkat Kemapanan Tata Kelola Teknologi Informasi. Studi Kasus PT Bursa Efek Indonesia”, yang merupakan salah satu syarat kelulusan pada Program Studi Sistem Informasi, Fakutas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya. Tugas Akhir ini takkan pernah terwujud tanpa dukungan, saran, dan bantuan dari berbagai pihak. Pada kesempatan ini penulis menyampaikan ucapan terima kasih kepada semua pihak yang telah membantu penulis baik dalam pelaksanaan tugas akhir hingga selesainya penyusunan laporan tugas akhir ini. Ucapan terima kasih penulis sampaikan kepada:
Bapak Budi Yuwono dan Bapak Alex Ferdinansyah, selaku dosen pembimbing penulis atas segala ketulusan dalam membimbing, membagi ilmu, juga motivasi dan semangat selama perkuliahan dan proses mengerjakan tugas akhir.
Bapak Yudho Giri Sucahyo, Ph.D dan Dr. Eko. K Budiarjo selaku dosen penguji yang telah memberikan kritik dan saran yang membangun untuk membuat karya akhir ini menjadi lebih baik
Bapak Direktur TMR dan rekan-rekan Divisi SDM yang telah memberikan beasiswa selama saya menempuh kuliah S2 di MTI UI.
Bapak M Fadlol Basori (alm) dan Ibu Mufidah, atas segala kasih sayang, doa yang tiada henti, kepercayaan dan dukungan penuh yang selalu dapat memberi motivasi. Semoga Husnul selalu dapat melakukan yang terbaik untuk Bapak & Ibu. Amin.
Istri ku yang tercinta Afin Tri Pamungkas, atas pengertian, kasih saying, doa, dan dukungan penuh yang selalu dapat memberi motivasi. Semoga setelah berakhirnya kuliah ini akan bertambah waktu luangku untuk bersama keluarga kecil kita. iv Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Bapak Mertua dan Ibu Mertua, Cak Punk, Mbak Lina, Cak Basit, Mbak Yanti, Ponakan-ponakan ku (Ama, Rizqi, Fela, Bintang, Tristan dan Fadhil) serta seluruh keluarga besar yang selalu memberikan dukungan dan semangat.
Atasan dan rekan-rekan kerja di kantor, Bapak Abdul Munim, Bapak Budhi, Bapak Isman, Bapak Inang, Bapak Bhayu, Mas Rakhman, Mbak Henny dan teman-teman yang lain, terima kasih atas dukungannya dan bersedia mendengar keluh kesah mengenai mengenai membagi waktu antara pekerjaan, kuliah dan keluarga.
Buat teman-teman kelas SCMTI 2011-2012, terutama buat Sonya dan Harry yang hamper selalu jadi temen sekelompok, terima kasih atas segala pertemanan & persahabatan selama ini dan semoga tidak akan berhenti sampai kapan pun. Semoga selalu sukses y.
Semoga kebaikan yang telah diberikan dibalas oleh Allah SWT. Akhirnya penulis menyadari masih banyak kekurangan dalam Tugas Akhir ini. Untuk itu penulis mengharapkan adanya kritik dan saran yang dapat menyempurnakan Tugas Akhir ini. Harapan penulis, semoga Tugas Akhir ini dapat bermanfaat bagi pembaca. Jakarta, Januari 2013
Penulis
v Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
2
ABSTRAK
Nama : Husnul Hidayat Program Studi : Magister Teknologi Informasi Judul : Evaluasi dan Analisis Tingkat Kemapanan Tata Kelola Teknologi Informasi: Studi Kasus PT Bursa Efek Indonesia Teknologi informasi (TI) diyakini sebagai pendukung utama dalam perkembangan pasar modal, untuk itu dibutuhkan adanya pengelolaan TI yang baik yang dilandasi dengan adanya tata kelola yang mengacu kepada standard dan best practice IT governance. Penelitian ini mencoba memberikan evaluasi, rekomendasi dan program jangka pendek yang dapat dilakukan untuk meningkatkan tingkat kemapanan tata kelola di PT Bursa Efek Indonesia (BEI). Hal ini dilakukan untuk meminimalkan downtime dan meningkatkan layanan kepada pelanggan agar kepuasan dan kepercayaan dari pelanggan terus terjaga sehingga pada akhirnya diharapkan volume perdagangan dapat terus meningkat. Pada penelitian ini evaluasi tingkat kemapanan tata kelola dilakukan berdasarkan framework Cobit 4.1, setelah dilakukan evaluasi akan disusun rekomendasi perbaikannya serta disusun program jangka pendek untuk meningkatkan tingkat kemapanan sesuai harapan PT BEI. Pada penelitian ini juga memanfaatkan metode IT risk management untuk mengetahui tingkat risiko yang dapat ditimbulkan jika rekomendasi perbaikan tidak dilakukan. Berdasarkan hasil evaluasi dapat diketahui jika perusahaan direkomendasikan untuk melakukan perbaikan prosedur dan pengembangan aplikasi untuk meningkatkan awareness dan efektifitas operasional. Kata Kunci: Tata kelola, Cobit 4.1, Tingkat kemapanan, IT Risk Management
vii
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
3
ABSTRACT
Nama : Husnul Hidayat Program Studi : Master of Information Technology Judul : Evaluation and Analysis of Maturity Level Information Technology Governance. Case Study: Indonesia Stock Exchange Information technology (IT) is believed to be a mojor driver for capital market, it is necessary to have good IT management which based on it governance that can comply to IT governance standards and best practice. This research was trying to evaluate, give recommendation and short-term program to improve the maturity level of IT governance in Indonesia Stock Exchange (IDX). The purpose is to minimize downtime and to improve customer satisfaction and maintain their belief and finally the volume of trading will increase. In this research, the evaluation of maturity level is based on framework COBIT 4.1, after the evaluation will be given recommendations for improvement and create short-term program to improve the maturity level as expected by PT IDX. In this research also utilizes IT risk management methods to determine the level of risk that may appear if the recommendations are not implemented. Based on the evaluation results could be known that the company was recommended to improve the procedures and develop application to increase awareness and operational effectiveness. Keywords: IT governance, Cobit 4.1, Maturity level, IT Risk Management
viii
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
4
DAFTAR ISI
HALAMAN PERNYATAAN ORISINALITAS.............................................................. ii HALAMAN PENGESAHAN ............................................................................................. iii KATA PENGANTAR .......................................................................................................... iv PERNYATAAN PERSETUJUAN PUBLIKASI KARYA ILMIAH UNTUK KEPENTINGAN AKADEMIS ....................................................................................... vi ABSTRAK .............................................................................................................................vii ABSTRACT ..........................................................................................................................viii DAFTAR ISI ...........................................................................................................................ix DAFTAR GAMBAR ............................................................................................................xii DAFTAR TABEL ................................................................................................................xiii BAB I PENDAHULUAN .................................................................................................. 1 1.1
Latar Belakang ............................................................................................... 1
1.2
Perumusan Masalah........................................................................................ 5
1.3
Tujuan Penelitian............................................................................................ 9
1.4
Manfaat Penelitian.......................................................................................... 9
1.5
Ruang Lingkup Penelitian ............................................................................ 10
BAB II LANDASAN TEORI .......................................................................................... 11 2.1
Tata Kelola Teknologi Informasi ................................................................. 11
2.2
Cobit versi 4.1 .............................................................................................. 14
2.3
Cobit Maturity Model................................................................................... 17
2.4
ITIL versi 3................................................................................................... 24
2.5
Manajemen Risiko........................................................................................ 27
2.6
Framework NIST ......................................................................................... 28
BAB III METODOLOGI PENELITIAN ........................................................................ 33 3.1
Metodologi ................................................................................................... 33
3.2
Framework Penelitian................................................................................... 36
BAB IV PROFIL PERUSAHAAN .................................................................................. 37 4.1
Tata Kelola Organisasi ................................................................................. 40
4.2
Struktur Organisasi....................................................................................... 42
ix
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
BAB V ANALISIS DAN PEMBAHASAN ................................................................... 45 5.1
Metode untuk Assessment Penerapan Tata Kelola TI.................................. 45
5.2
Pengukuran Kemapanan Tata Kelola ........................................................... 52
5.2.1
DS1 Define and Manage Service Level ................................................ 56
5.2.2
DS2 Manage Third Party Services ....................................................... 59
5.2.3
DS3 Manage Performance and Capacity ............................................. 63
5.2.4
DS4 Ensure Continuous Service ........................................................... 66
5.2.5
DS5 Ensure System Security ................................................................. 70
5.2.6
DS6 Identify and Allocate Cost............................................................. 73
5.2.7
DS7 Educate and Train Users .............................................................. 75
5.2.8
DS8 Manage Service desk and Incidents .............................................. 78
5.2.9
DS9 Manage Configuration.................................................................. 81
5.2.10
DS10 Manage Problem......................................................................... 84
5.2.11
DS11 Manage Data .............................................................................. 87
5.2.12
DS12 Manage The Physical Environment ............................................ 90
5.2.13
DS13 Manage Operations .................................................................... 93
5.2.14
Nilai Kemapanan untuk domain DS ..................................................... 97
5.3
Rekomendasi Perbaikan ............................................................................... 98
5.4
Risk Assessment untuk Menentukan Prioritas Rekomendasi...................... 103
5.5
Validasi Rekomendasi ................................................................................ 107
5.6
Pembuatan Program ................................................................................... 113
BAB VI KESIMPULAN DAN SARAN ...................................................................... 117 6.1
Kesimpulan................................................................................................. 117
6.2
Saran ........................................................................................................... 119
Referensi .............................................................................................................................. 121 Lampiran 1 Wawancara ..................................................................................................... 123 Lampiran 2 Penyesuaian SOP Pemeliharaan Sistem ..................................................... 129 Lampiran 3 Penyesuaian SOP Capacity Management .................................................. 137 Lampiran 4 Penyesuaian SOP Incident Management ................................................... 138 Lampiran 5 Tingkat Saverity Incident ............................................................................. 142 Lampiran 6 Penyesuaian SOP Backup Rutin ................................................................. 143 x
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Lampiran 7 Penyesuaian Form Backup Rutin ................................................................ 145
xi
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
5
DAFTAR GAMBAR
Gambar 1.1 Remote Trading......................................................................................... 2 Gambar 1.2 IT Strategic Impact Grid (APPLEGATE, 2009) ....................................... 3 Gambar 1.3 Maturity Level Cobit pada tahun 2010 dan tahun 2011............................ 5 Gambar 1.4 Fishbone diagram penyebab adanya gap tingkat kemapanan ................... 8 Gambar 2.1 Fokus Utama IT Governance .................................................................. 13 Gambar 2.2 Kerangka kerja COBIT 4.1 ..................................................................... 17 Gambar 2.3 Matury Model Cobit................................................................................ 18 Gambar 2.4 Kerangka kerja ITIL versi 3 .................................................................... 27 Gambar 2.5 Framework Risk manajemen NIST 800-30 ............................................ 28 Gambar 3.1 Tahapan Penelitian .................................................................................. 33 Gambar 3.2 Framework penelitian.............................................................................. 36 Gambar 4.1 Struktur Organisasi BEI .......................................................................... 42 Gambar 4.2 Struktur Direktorat TMR......................................................................... 43
xii
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
6
DAFTAR TABEL
Tabel 1.1 Maturity Level Proses pada Domain DS pada Tahun 2011 .......................... 6 Tabel 2.1 Unsur-Unsur Tata Kelola TI ....................................................................... 12 Tabel 2.2 Maturity Attribute ....................................................................................... 21 Tabel 2.3 Template Risk Assessment........................................................................... 32 Tabel 4.1 Sejarah Perkembangan BEI ........................................................................ 37 Tabel 5.1 Analisis SOP Divisi Operasi TI .................................................................. 46 Tabel 5.2 Maturity Attribute ....................................................................................... 46 Tabel 5.3 Assessment Maturity Level DS1 define and manage service level ............. 56 Tabel 5.4 Assessment Maturity Level DS2 Manage Third Party Services ................. 60 Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity ....... 63 Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service ..................... 67 Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security ........................... 70 Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost....................... 73 Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users ........................ 76 Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents ...... 79 Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration.......................... 82 Tabel 5.12 Assessment Maturity Level DS10 Manage Problem................................. 85 Tabel 5.13 Assessment Maturity Level DS11 Manage Data....................................... 88 Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment .... 91 Tabel 5.15 Assessment Maturity Level DS13 Manage Operations............................. 94 Tabel 5.16 nilai maturity level pada domain DS......................................................... 97 Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute........................................ 98 Tabel 5.18 Rekapan Rekomendasi............................................................................ 102 Tabel 5.19. Klasifikasi Dampak Manajemen Risiko BEI ......................................... 103 Tabel 5.20. Klasifikasi likelihood Manajemen Risiko BEI ...................................... 104 Tabel 5.21 Risk Matrix.............................................................................................. 104 Tabel 5.22 Risk Assessment....................................................................................... 104 Tabel 5.23 Validasi Hasil Rekomendasi ................................................................... 108 Tabel 5.24 Supplier Management ............................................................................. 113 Tabel 5.25 Capacity Management ............................................................................ 114 Tabel 5.26 Incident Management.............................................................................. 114 Tabel 6.1 Usulan Rekomendasi................................................................................. 117 Tabel 9.1. Sistem score ............................................................................................. 132 Tabel 9.2. Kategori hasil evaluasi ............................................................................. 132
xiii
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
1
BAB I
PENDAHULUAN 1.1
Latar Belakang Dalam beberapa tahun terakhir industri pasar modal semakin berkembang,
perkembangan industri pasar modal ini dapat dilihat dari volume perdagangan yang semakin meningkat. Hal ini tentunya menuntut adanya layanan yang semakin baik terutama dari PT Bursa Efek Indonesia (BEI) selaku fasilitator perdagangan saham dan surat utang. Guna menunjang kegiatan perdagangan dengan volume perdagangan yang tinggi ini, terutama pada saat awal sesi perdagangan dan pada akhir sesi perdagangan, diperlukan adanya fasilitas perdagangan yang andal. Hal ini mutlak dibutuhkan karena selain volume perdagangan yang semakin meningkat, perdagangan saham juga harus dilakukan secara real time. Dalam menyediakan fasilitas perdagangan yang andal tentunya dibutuhkan adanya peranan teknologi informasi (TI) yang baik. Pada saat ini kegiatan perdagangan sangat tergantung pada ketersediaan TI dalam operasional dan pengembangannya, hal ini dikarenakan pada saat ini semua kegiatan perdagangan dibantu oleh sistem perdagangan yang dinamakan “Jakarta Automated Trading” System (JATS). Pada sistem JATS menyediakan fasilitas bagi investor untuk melakukan perdagangan dari jarak jauh (remote trading) sehingga investor tidak perlu lagi datang ke lantai bursa (floor trading) untuk membeli atau menjual saham seperti jaman dahulu, tetapi saat ini investor bisa melakukan kegiatan jual beli saham dari kantor Anggota Bursa (broker).
1
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
2
Gambar 1.1 Remote Trading
Mengingat begitu vitalnya peranan TI di PT BEI maka sistem TI yang terdapat di PT BEI harus mempunyai ketahanan yang baik (realible), kapasitas yang besar dan dan performa yang tinggi karena perdagangan dilakukan secara real time. Sistem TI yang ada dituntut untuk mempunyai availability yang tinggi sehingga kegiatan perdagangan dapat terus berlangsung. Adanya down time sistem TI walaupun hanya sebentar akan menimbulkan kerugian yang besar bagi pelaku bisnis di pasar modal. Untuk mewujudkan ketersediaan yang tinggi, tentunya sistem TI tersebut harus didukung dengan adanya adanya infrastruktur yang realible, aplikasi TI yang handal, personil TI yang memadai dan adanya tata kelola TI yang baik guna memberikan arahan dalam mengelola operasional dan pengembangan TI. Jika merujuk pada matrik Richard Nolan dan F. Warren McFarlan yang dapat dilihat dalam buku “Corporate Information Strategy and Management” (linda applegate, 2009), peran TI di PT BEI pada saat ini sudah dapat diketegorisasikan dalam factory mode. Hal ini tentunya berbeda dengan kondisi
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
3
pada akhir tahun 1990-an, dimana peranan TI masih sebagai support yang berfungsi mendukung kegiatan perkantoran saja, sedangkan kegiatan perdagangan masih dilakukan secara manual.
Gambar 1.2 IT Strategic Impact Grid (APPLEGATE, 2009)
Semakin meningkatnya peranan TI telah disadari oleh management PT BEI, oleh karena itu sejak tahun 2007 pimpinan tertinggi TI adalah sorang direktur, sejajar dengan pimpinan core bisnis di PT BEI. TI berada dibawah Direktur Teknologi Informasi dan Manajemen Risiko (TMR), yang dijabat oleh Bapak Adikin Basirun. Direktorat TMR terdiri dari 3 Divisi, yaitu: Divisi Operasi Teknologi Informasi, Divisi Pengembangan Teknologi Informasi dan Divisi Manajemen Risiko. Berikut ini akan dijabarkan secara singkat mengenai tugas dan fungsi dari ketiga Divisi tersebut. 1. Divisi Operasi Teknologi Informasi (OTI) Mempunyai tugas untuk menjalankan operasional TI dan menjaga ketersediaan sistem TI. 2. Divisi Pengembangan Teknologi Informasi (PTI) Mempunyai tugas untuk melakukan pengembangan sistem TI dan manajemen proyek. 3. Divisi Manajemen Risiko (MRI)
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
4
Mempunyai tugas untuk menyusun profil risiko TI, monitoring risiko dan pengembangan tata kelola TI. Sejalan dengan visi dan misi perusahaan untuk menerapkan good governance, pada direktorat TMR juga telah menerapkan IT Governance untuk menjaga keselarasan antara tujuan TI dengan tujuan bisnis menjaga kualitas pelayanan yang diberikan kepada core bisnis. Tata kelola yang diterapkan untuk operasional di direktorat TMR telah coba untuk mengadopsi best practice yang terdapat pada Information Technology Infrastructure Library (ITIL) versi 3 dan Control Objectif for Information and Related Technology (Cobit) versi 4.1. Beberapa prosedur yang telah diterapkan adalah: 1. Request Management 2. Incident Management 3. Problem Management 4. Change Management 5. Release Management 6. Configuration Management 7. Capacity Management 8. Pemeliharaan Perangkat Adanya tata kelola TI yang baik sangat dibutuhkan oleh PT BEI dalam menyediakan fasilitas perdagangan dan menjaga availability sistem selama proses perdagangan berlangsung. Oleh karena itu, PT BEI pada berusaha untuk melakukan penyempurnaan tata kelola dan secara rutin melakukan assessment guna mengatahui tingkat tata kelola yang ada pada saat ini. Hal ini dilakukan untuk meminimalkan downtime dan meningkatkan layanan kepada pelanggan agar kepuasan dan kepercayaan dari pelanggan terus terjaga sehingga pada akhirnya diharapkan volume perdagangan dapat terus meningkat.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
5
GAMBAR 1.3 Maturity Level Cobit pada tahun 2010 dan tahun 2011
1.2
Perumusan Masalah Pada tahun 2013, pihak management dari PT BEI telah mencanangkan
target untuk meningkatkan tingkat kemapanan (maturity level) tata kelola berdasarkan framework Cobit, terutama untuk domain Delivery dan Service (DS). Pada domain tersebut diharapkan 75% dari 13 proses kerja yang tersedia mempunyai tingkat kemapanan dengan nilai 4. Peningkatan tingkat kemapanan lebih diutamakan pada domain DS karena: 1. Pada saat ini semua kegiatan perdagangan saham sudah dilakukan dengan bantuan TI sehingga peranan TI sangat kritikal. 2. Peranan TI di PT BEI telah berada pada ketegorisasi factory mode berdasarkan strategic impact grid (linda applegate, 2009). Oleh karena itu dituntut adanya sistem TI yang availability yang tinggi dan performa yang baik. 3. Adanya downtime dapat menyebabkan kerugian yang besar bagi perusahaan pada khususnya dan industri pasar modal pada umumnya.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
6
4. Service level agreement (SLA) yang dijanjikan kepada stakeholder mencapai 99.75%. 5. Adanya gangguan pada sistem perdagangan pada akhir bulan Agustus 2012. 6. Dibutuhkan adanya suatu tata kelola yang baik untuk mengelola operasional TI sehingga dapat memenuhi kebutuhan bisnis. Sedangkan untuk domain yang lain yaitu domain Plan and Organise (PO), domain Acquire and Implement (AI) dan domain Monitor and evaluate (ME), akan ditingkatkan kemapanannya setelah domain DS. Selanjutnya akan disampaikan data mengenai tinggkat kemapanan tata kelola DI PT BEI berdasarkan hasil assessment yang telah dilakukan oleh salah satu konsultan untuk 13 proses kerja pada domain DS pada tahun 2011. Data secara lengkap dapat dilihat pada tabel 1.1. Tabel 1.1 Maturity Level Proses pada Domain DS pada Tahun 2011
Maturity level No
Proses kerja
2011
1 DS1-Define and manage service levels.
3.83
2 DS2-Manage third-party services.
3.17
3 DS3-Manage performance and capacity.
3.33
4 DS4-Ensure continuous service.
3.5
5 DS5-Ensure systems security.
3.17
6 DS6-Identify and allocate costs.
3.67
7 DS7-Educate and train users.
3
8 DS8-Manage service desk and incidents.
3.83
9 DS9-Manage the configuration.
3.17
10 DS10-Manage problems.
3.17
11 DS11-Manage data.
3.17
12 DS12-Manage the physical environment.
3.33
13 DS13-Manage operations.
3.67
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
7
Jika dilihat pada tabel diatas, dapat dilihat gap antara tingkat kemapanan untuk 13 proses kerja pada domain DS di tahun 2011 dengan tingkat kemapanan yang ditargetkan oleh pihak management pada tahun 2013. Berdasarkan analisis yang dilakukan dalam keseharian di Divisi OTI dan PTI, dapat diketahui bahwa adanya gap tingkat kemapanan disebabkan oleh berapa hal, antara lain:
belum
dilakukannya
evaluasi
rutin
pelaksanaan
prosedur
operasional,
kurangnya sosialisasi
kebutuhan pelatihan untuk peningkatan pengetahuan.
Detail perkiraan penyebab adanya gap tingkat kemapanan dapat dilihat pada fishbone diagram berikut ini:
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
8
Prosedur
Awareness and Communication
Adanya prosedur yang belum disertai goal dan measurement Kurangya sosialisasi dan awareness Adanya prosedur yang kurang lengkap
Belum dilakukannya evaluasi rutin
Adanya gap tingkat kematangan eksisting dengan target tingkat kematangan dari Management
Kurangnya training
Belum semua aktivitas TI di dukung oleh aplikasi
Masih kurangnya skill dan ekspertise yang dimiliki Kurangnya pengalaman
Personil TI
Belum tersedianya user guide
Tools and Automation
Gambar 1.4 Fishbone diagram penyebab adanya gap tingkat kemapanan
Berdasarkan fishbone diagram di atas, dapat diketehui hal-hal yang jadi penyebab adanya gap tingkat kemapanan. Untuk itu pada tugas akhir ini akan dicoba memberikan rekomendasi perbaikan sehingga tingkat kemapanan tata kelola dapat mencapai nilai tingkap kemapanan yang diinginkan oleh pihak management. Sesuai dengan penjelasan yang telah disampaikan pada bagian latar belakang, dapat diketahui bahwa masih terdapat beberapa hal yang dapat disempurnakan sehingga tingkat kemapanan tata kelola dapat mencapai nilai yang diinginkan oleh pihak management. Oleh karena itu pada penelitian ini akan diangkat permasalahan mengenai “Sejauh mana tingkat kemapanan tata kelola TI untuk domain DS pada PT BEI menurut cobit 4.1 dan bagaimana langkah-langkah
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
9
yang applicable (selanjutnya akan disebut sebagai ”program”) untuk mencapai tingkat kemapanan yang dijadikan target oleh PT BEI untuk meningkatkan pelayanan kepada pelanggan sehingga dapat memberkan service level yang baik?” 1.3
Tujuan Penelitian Tujuan yang ingin dicapai dalam penelitian ini adalah: 1. Mengetahui sejauh mana tingkat kemapanan tata kelola TI pada domain DS pada PT BEI. 2. Mengidentifikasi prosedur yang perlu disempurnakan mengacu pada tingkat kemapanan Cobit dan ITIL versi 3. 3. Memberikan rekomendasi perbaikan yang bisa dilakukan untuk memingkatkan tingkat kemapanan mencapai level 4 untuk 75% proses pada domain DS. 4. Membuat program jangka waktu pendek berdasarkan rekomendasi perbaikan pada point 3. Program yang dibuat akan disesuaikan dengan jangka waktu pengerjaannya.
1.4
Manfaat Penelitian Manfaat yang akan didapatkkan dari penelitian ini adalah: 1. Manfaat akademis: dengan penelitian ini, diharapkkan akan menjadi referensi dalam melakukan
pengukuran dan peningkatan tingkat
kemapanan tata kelola TI pada suatu perusahaan financial khususnya Pasar Modal. 2. Manfaat Praktis: hasil penelitian ini diharapkan dapat memberikan sumbangan pemikiran bagi management untuk mengetahui sejauh mana tingkat kemapanan eksisting dan mengetahui program yang dapat dilakukan untuk mencapai tingkat kemapanan yang diharapkan oleh PT BEI.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
10
1.5
Ruang Lingkup Penelitian Ruang lingkup dalam penelitian ini adalah sebagai berikut: 1. Penelitian ini dilakukan pada untuk mengetahui sejauh mana tingkat kemapanan tata kelola TI pada domain DS di PT BEI. Data yang dikumpulkan
diperoleh
dari
data
kualitatif,
data
kuantitatif,
mempelajari laporan bulanan, observasi dan wawancara dengan pihakpihak yang terkait dengan pembuatan dan pengelolaan prosedur. Penelitian ini akan mengukur tingkat kemapanan menggunakan framework Cobit versi 4.1 2. Pada penelitian ini, perbaikan prosedur akan disesuaikan dengan framework Cobit versi 4.1 dan standard ITIL versi 3 3. Pada penelitian ini akan dicoba menerapkan program yang dapat diimplementasi dalam jangka pendek (kurang lebih 2 bulan). Program ini diharapkan dapat meningkatkan tingkat kemapanan yang ada pada saat ini sehingga mencapai target PT BEI yaitu nilai 4 untuk 75% proses yang terdapat di domain DS. 4. Penilaian tingkat kemapanan yang dilakukan berdasarkan nilai maturity attribute cobit. Dalam hal ini bobot untuk setiap attribute dianggap setara. Rekomendasi akan disusun sehingga nilai pada setiap attribute mencapai nilai 4.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
2
BAB II
LANDASAN TEORI
2.1
Tata Kelola Teknologi Informasi Terdapat beberapa definisi mengenai Tata kelola teknologi informasi,
menurut Information Technology Governance Institute (ITGI, 2007), “Tata Kelola TI adalah tanggung jawab dari board of Directors (BOD) dan eksekutif management. Tata Kelola TI merupakan bagian dari tata kelola perusahaan dan terdiri dari kepemimpinan, struktur organisasi dan proses yang memastikan bahwa organisasi TI mendukung dan memperluas strategi organisasi dan tujuan organisasi”. Sedangkan menurut Van Grembergen (Van Grembergen, 2004), definisi tata kelola TI adalah “IT Governance is the organizational capacity exercised by the Board,Executive management and IT management to control the formulaton and implementation of IT strategy and in this way ensure the fusion of business and IT”. Sedangkan menurut Petersen (Petersen, 2001), “IT Governance is the system by which an organization’s IT portfolio is directed and controlled. IT Governance describes the distribution of IT decision making rights and responsabilities among different stakeholders in the organization, and the rules and procedures for making and montoring decisions on strategic IT resources”. Sedangkan menurut Weill & Ross (Weill & Ross, 2004), definisi tata kelola TI adalah “Specifying the decision right and accountability framework to encourage desireable beavior in the use of IT”. Sedangkan menurut Luftman (Luftman, 1993), “IT Governance is the degree to which the authority for making IT decisions is defined, and shared among management, and the process managers in both IT and business organizations apply in setting IT priorities and allocation of IT resources”.
11
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
12
Berdasarkan definisi-definisi yang telah disebutkan di atas, dapat dilihat bahwa terdapat beberapa persamaan unsur pada tata kelola IT. Tabel 2.1 Unsur-Unsur Tata Kelola TI
ITGI
Van
Petersen
Weill &
Grembergen Leadership Decision
√ making
Luftman
Ross
√
√
√
√
√
structure Process
√
Resource management IT use for organization
√
√
√
√
√
√
√
√
objective Mengacu pada tabel 2.1, menunjukkan bahwa tata kelola TI merupakan bagian penting dari tanggung jawab BoD dan eksekutif management. Selain itu tata kelola TI merupakan bagian yang dari tata kelola perusahaan (corporate governance) serta mensyaratkan adanya kepemimpinan, struktur organisasi dan proses yang memastikan bahwa organisasi TI mendukung dan memperluas strategi organisasi serta tujuan organisasi. Sejalan dengan definisi di atas, menurut ITGI terdapat lima fokus utama pada tata kelola TI yang seluruhnya didorong oleh Stakeholder Value. Tiga focus ang pertama merupakan faktor pendorong yaitu strategic alignment, resource management dan performance measurement. Sedangkan 2 fokus yang lain adalah hasil yang diinginkan yaitu value delivery dan risk management.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
13
Gambar 2.1 Fokus Utama IT Governance
Penjelasan untuk masing-masing fokus akan dibahas secara lebih detail pada bagian dibawah ini: 1.
Strategic Alignment bertujuan untuk memastikan hubungan rencana
bisnis dan Ti dan menselaraskan operasi TI dengan operasi perusahaan. Hal ini dapat dicapai jika TI dapat memberikan added value pada produk dan services, memberikan alternative-alternatif solusi dalam persaingan bisnis, efisiensi biaya operasional,
meningkatkan kecepatan distribusi informasi. Keselarasan yang
inigin dibangun dimulai dari keselarasan arsitektur TI dengan visi dan misi perusahaan sampai dengan keselerasan operasional TI dengan operasional bisnis. 2.
Value Delivery mempunyai fokus pada aktivitas yang memberikan
nilai kepada bisnis dan memastikan bahwa investasi TI yang telah dilakukan dapat memberikan keuntungan kepada perusahaan baik secara langsung maupun tidak langsung serta berkonsentrasi pada optimalisasi biaya yang dikeluarkan perusahaan untuk operasional. 3.
Risk Management mempuyai fokus pada peningkatan kesadaran dan
pemahaman risiko, identifikasi risiko dan menanamkan tanggung jawab manjemen risiko ke dalam organisasi. Hal ini dimaksudkan untuk menamkan kesadaran kepada senior management mengenai adanya risiko yang harus dihadapi, risiko-risiko tersebut harus diidentifikasi, melakukan mitigasi risiko tersebut, apakah risiko tersebut akan di accept dan dicarikan alternatif solusi,
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
14
apakah di ignore karena dirasa tidak terlalu penting ataukah di transfer kepada pihak lain untuk mengatasi risiko tersebut. Selain itu, risiko-risiko tersebut harus selalu di monitoring dan di lakukan evaluasi berkala secara rutin. 4.
Resource Management berfokus pada pemilihan investasi yang
optimal dan mengelola sumber daya TI (Sumber daya manusia, aplikasi, infrastruktur dan informasi) dengan tepat. Isu utama dalam pengelolaan sumber daya adalah peningkatan pengetahuan sumber daya manusia (knowledge) dan penyediaan infrastruktur. 5.
Performance Measurement mempunyai fokus pada tracking dan
monitoring implementasi dari strategi yang telah direncakan, penyelesaian proyek, penggunaan sumber daya TI, dan kinerja layanan TI secara keseluruhan. 2.2
Cobit versi 4.1 COBIT adalah sekumpulan dokumentasi best practices untuk IT
Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalahmasalah teknis (Sasongko, 2009). COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, risiko IT dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya, 2010). Pada kerangka kerja Cobit versi 4.1 (ITGI, 2007) dibagi menjadi 4 domain dan dari 4 domain tersebut akan dibagi menjadi 34 proses kerja. Berikut ini akan dijelaskan mengenai 4 domain pada Cobit dan disebutkan 34 proses kerja yang ada 4 domain tersebut. 1. Plan and Organise (PO), pada domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI
dengan strategi
perusahaan, mencakup masalah strategi, taktik dan identifikasi cara terbaik
IT
untuk
memberikan
kontribusi
maksimal
terhadap
pencapaian tujuan bisnis organisasi. Proses kerja yang terdapat pada domain PO adalah:
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
15
a. PO1 Define a strategic IT plan.
b. PO2 Define the information architecture. c. PO3 Determine technological direction. d. PO4
Define
relationships.
the
IT
processes,
organisation
and
e. PO5 Manage the IT investment.
f. PO6 Communicate management aims and direction. g. PO7 Manage IT human resources h. PO8 Manage quality.
i. PO9 Asses and manage IT risks. j. PO10 Manage Projects.
2. Acquire and Implement (AI), Pada domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi, juga meliputi perubahan dan perawatan yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga. Proses kerja yang terdapat pada domain AI adalah: a. AI1 Identity automated solutions. b. AI2 Acquire and maintain application software. c. AI3 Acquire and maintain technology infrastructure. d. AI4 Enable operation and use. e. AI5 Procure IT resources. f. AI6 Manage changes. g. AI7 Install and accredit solutions and changes. 3. Deliver and Support (DS), pada domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan. Proses kerja yang terdapat pada domain DS adalah: a. DS1 Define and manage service levels.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
16
b. DS2 Manage third-party services. c. DS3 Manage performance and capacity. d. DS4 Ensure continuous service. e. DS5 Ensure systems security. f. DS6 Identify and allocate costs. g. DS7 Educate and train users. h. DS8 Manage service desk and incidents. i. DS9 Manage the configuration. j. DS10 Manage problems. k. DS11 Manage data. l. DS12 Manage the physical environment. m. DS13 Manage operations. 4. Monitor and Evaluate (ME), pada domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan. Proses kerja yang terdapat pada domain ME adalah: a. ME1 Monitor and evaluate IT performance. b. ME2 Monitor and evaluate internal control. c. ME3 Ensure regulatory compliance. d. ME4 Provide IT governance. Gambaran kerangka kerja Cobit versi 4.1 secara lengkap dapat dilihat pada gambar dibawah ini:
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
17
Gambar 2.2 Kerangka kerja COBIT 4.1
2.3
Cobit Maturity Model Cobit menyediakan parameter untuk melakukan penilaian sebaik apa
pengelolaan IT pada suatu organisasi dengan menggunakan maturity models. Cobit mempunyai model kematangan (maturity models) untuk mengontrol prosesproses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya. Pada Cobit maturity model mempunyai skala 6 level penilaian yang disebut maturity level, dari skala non-existent sampai dengan optimised (dari 0 sampai 5). Berikut ini penjelasan singkat untuk masing-masing level 1. Level 0 (Non-existent), pada level ini perusahaan belum melakukan identifikasi atas proses TI. Perusahaan beranggapan hal tersebut merupakan hal yang tidak perlu dipertimbangkan. 2. Level 1 (Initial/Adhoc), pada level ini perusahaan telah menyadari bahwa terdapat beberapa proses TI yang telah berjalan. Proses-proses TI tersebut berjalan tetapi dilakukan tanpa standar prosedur operasional dan belum didokumentasikan. 3. Level 2 (Repeatable but intuitive), pada level ini proses TI yang berjalan belum seluruhnya memiliki standar prosedur operasional. Selain itu, proses sosialisasi atas standar prosedur tersebut belum
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
18
seluruhnya dilakukan dan dikomunikasikan secara formal kepada personil terkait. 4. Level 3 (Defined process), pada level ini perusahaan telah memiliki standar prosedur operasional dan terdokumentasi dengan baik serta telah melakukan sosialisasi secara formal atas seluruh proses TI yang berjalan. 5. Level 4 (Managed and Measurable), pada level ini perusahaan melakukan pengawasan dan memastikan proses telah berjalan sesuai prosedur dan kebijakan yang berlaku. Selain itu, perusahaan telah melakukan penilaian dalam memastikan proses yang ada, telah berjalan secara efektif. Penerapan proses yang terautomasi merupakan salah satu pertimbangan penilaian pada level ini. 6. Level 5 (Optimized), pada level ini, proses-proses TI yang berjalan telah mencapai tingkatan good practice. Hal ini dapat dinilai dari keselarasan proses-proses TI dengan perubahan atau perkembangan TI serta bisnis perusahaan. Seluruh proses TI telah terintegrasi dan memiliki proses yang telah terautomasi.
Gambar 2.3 Matury Model Cobit
Pada penelitian ini akan menggunakan Cobit Maturity Model sebagai acuan dalam melakukan pengukuran tingkat kemapanan tata kelola yang ada di PT BEI. Salah satu model pengukuran tingkat kemapanan yang diperkenalkan oleh ITGI yaitu dengan mengukur tingkat kemapanan dari atribut-atributnya (disebut maturity attribute). Pengukuran yang dilakukan menggunakan maturity
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
19
attribute karena maturity attribute memuat daftar karakteristik bagaimana proses TI dikelola dan menjelaskan bagaimana mereka berevolusi dari non-existent sampai dengan optimised process. Maturity attribute ini dapat digunakan untuk assessment dengan lebih komprehensif, analisis kesenjangan yang ada dan perencanaan perbaikan (ITGI, 2007). Assessment dengan maturity attribute dipilih karena sesuai dengan kebutuhan dari PT BEI dengan alasan sebagai berikut: 1. Penilaian dapat dilakukan dengan lebih komprehensif, meliputi cara komukasi antara TI dengan user, prosedur yang telah diterapkan, tools yang digunakan, kebutuhan personil TI serta pembagian tanggung jawab akan dinilai dan diberikan rekomendasi untuk menanggulangi kekurangannya (gap analisys) 2. Adanya acuan yang jelas dalam penilaian maturity attribute sesuai yang tertera pada tabel 2.2 sehingga mengurangi miss interpersepsi dan lebih mudah mengkomunikasikan dengan pihak-pihak yang mungkin masih awam dengan penilaian maturity berdasarkan Cobit 4.1 Berikut ini merupakan atribut yang digunakan dalam melakukan assessment tingkat kemapanan tata kelola: 1. Tingkat kesadaran dan adanya sosialisasi 2. Keberadaan kebijakan, standar dan prosedur 3. Penggunaan alat bantu dan sistem otomasi 4. Ketrampilan dan keahlian pelaksana 5. Kejelasan Tanggung jawab dan akuntabilitas 6. Ditetapkannya target dan pengukuran kinerja Untuk mendapatkan data tingkat kemapanan dari setiap atribut di atas diperoleh dari hasil pemetaan kondisi eksisting dengan ke enam atribut di atas. Jika terdapat hal-hal yang belum jelas akan dilakukan konfirmasi ulang sehingga nilai dari setiap atribut akan lebih valid. Setelah diketahui nilai-nilai dari setiap atribut maka kita dapat melakukan perhitungan nilai kemapanan untuk suatu proses, dalam penelitian ini proses yang akan diteliti hanya mencakup prosesproses pada domain DS. Nilai kemapanan (maturity level – ML) proses didapat
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
20
dari hasil rata-rata dari setiap nilai atribut, dalam penelitian ini pembobotan setiap atribut disamakan. Berikut ini merupakan acuan dalam memberikan nilai untuk setiap atribut, nilai paling rendah adalah 1 dan yang paling tinggi adalah nilai 5, setiap nilai mempunyai kriteria penilaian tersendiri yang dapat dilihat pada tabel 2.2:
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
21
Tabel 2.2 Maturity Attribute ML 1
2
Awareness and Communication (AC) Recognition of the need for the process is emerging. There is sporadic communication of the issues.
Policies, Plans and Procedures (PPP) There are ad hocapproaches to processes and practices. The process and policies are undefined.
Tools and Automation (TA) Some tools may exist; usage is based on standard desktop tools. There is no planned approach to the tool usage.
Skills and Expertise (SE) Skill required for the process are not identified. A training plan does not exist and no formal training occurs.
There is awareness of the need to act. Management communicates the overall issues.
Similar and common processes emerge, but are largely intuitive because of individual expertise. Some aspects of the process are repeatable because of individual expertise, and some documentation and informal understanding of policy and procedures may exist.
Common approaches to use of tools exist but are based on solutions developed by key individuals. Vendor tools may have been acquired, but are probably not applied correctly, and may even be shelfware.
Minimum skill requirements are identified for critical areas. Training is provided in response to needs, rather than on the basis of an agreed plan, and informal training on the job occurs.
Responsibility and Accountability (RA) There is no definition of accountability and responsibility. People take ownership of issues based on their own initiative on a reactive basis. An individual assumes his/her responsibility and is usually held accountable, even if this is not formally agreed. There is confusion about responsibility when problems occur, and a culture of blame trends to exist.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Goal Setting and Measurement (GM) Goals are not clear and no measurement takes place.
Some goal setting occurs; some financial measures are established but are known only by senior management. There is inconsistent monitoring in isolated areas.
22
Tabel 2.3 Maturity Attribute (lanjutan) ML 3
4
Awareness and Communication (AC) There is understanding of the need to act. Management is more formal and structured in its communication.
There is understanding of the full requirements. Mature communication techniques are applied and standard communication tools are in use.
Policies, Plans and Procedures (PPP)
Tools and Automation (TA)
Skills and Expertise (SE)
Responsibility and Accountability (RA)
Goal Setting and Measurement (GM)
Usage of good practices emerges. The process, policies and procedures are defined and documented for all key activities.
A plan has been defined for use and standardisation of tools to automate the process. Tools are being used for their basic purposes, but may not all be in accordance with the agreed plan, and may not be integrated with one another.
Skill requirements are defined and documented for all areas. A formal training plan has been developed, but formal training is still based on individual initiatives.
Process responsibility and accountability are defined and process owners have been identified. The process owner is unlikely to have the full authority to exercise the responsibilities.
The process is sound and complete; internal best practices are applied. All aspects of the process are documented and repeatable. Policies have been approved and signed off on by management. Standards for developing and maintaining the processes and procedures are adopted and followed.
Tools are implemented according to a standardised plan, and some have been integrated with other related tools. Tools are being used in main areas to automate management of the process and monitor critical activities and controls.
Skill requirements are routinely updated for all areas, proficiency is ensured for all critical areas, and certification is encouraged. Mature training techniques are applied according to the training plan, and knowledge sharing is encouraged. All internal domain experts are involved, and the effectiveness of the training plan is assessed.
Process responsibility and accountability are accepted and working in a way that enables a process owner to fully discharge his/her responsibilities. A reward culture is in place that motivates positive action.
Some effectiveness goals and measures are set, but are not communicated, and there is a clear link to business goals. Measurement processes emerge, but are not consistently applied. IT balanced scorecard ideas are being adopted, as is occasional intuitive application of root cause analysis. Efficiency and effectiveness are measured and communicated and linked to business goals and the IT strategic plan. The IT balanced scorecard is implemented in some areas with exceptions noted by management and root cause analysis is being standardised. Continuous improvement is emerging.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
23
Tabel 2.4 Maturity Attribute (lanjutan) ML 5
Awareness and Communication (AC) There is advanced, forward-looking understanding of requirements. Proactive communication of issues based on trends exists, mature communication techniques are applied, and integrated communication tools are in use.
Policies, Plans and Procedures (PPP) External best practices and standards are applied. Process documentation is evolved to automated workflows. Processess, policies and procedures are standardised and integrated to enable end-to-end management and improvement.
Tools and Automation (TA)
Skills and Expertise (SE)
Responsibility and Accountability (RA)
Goal Setting and Measurement (GM)
Standardised tools sets are used across the enterprise. Tools are fully integrated with other related tools to enable end-to-end support of the processes. Tools are being used to support improvement of the process and automatically detect control exceptions.
The organisation formally encourages continuous improvement of skills, based on clearly defined personal and organisational goals. Training and education support external best practices and use of leading-edge concepts and techniques. Knowledge sharing is an enterprise culture, and knowledge-based systems are being deployed. External experts and industry leaders are used for guidance.
Process owners are empowered to make decisions and take action. The acceptance of responsibility has been cascaded down throughout the organisation in a consistent fashion.
There is an integrated performance measurement performance measurement system linking IT performance to business goals by global application of the IT balanced scorecard. Exceptions are globally and consistently noted by management and root cause analysis is applied. Continuous improvement is a way of life.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
24
2.4
ITIL versi 3 ITIL adalah suatu kerangka kerja umum yang menggambarkan Best
Practice layanan manajemen TI. ITIL menyediakan kerangka kerja bagi tatakelola TI, serta wrapping layanan. ITIL memfokuskan diri pada pengukuran terus menerus dan perbaikan kualitas layanan TI yang disampaikan, baik dari perspektif bisnis maupun pelanggan. ITIL banyak diterapkan karena mempunyai beberapa manfaat bagi perusahaan, antara lain: 1. Peningkatan kepuasan bagi pengguna dengan layanan IT 2. Ketersediaan layanan yang meningkat, hal ini dapat berdampak pada keuntungan usaha 3. Penghematan keuangan dari berkurangnya rework, kehilangan waktu, pengelolaan sumber daya manajemen yang lebih baik karena bisa langsung menggunakan best practice yang terdapat dalam kerangka kerja ITIL. 4.
Pengambilan keputusan yang lebih baik
5. Meminimalkan risiko ITIL versi pertama diterbitkan antara tahun 1989 dan 1995 oleh Her Majesty's Stationery Office (HMSO) di Inggris atas nama Kantor Pemerintah Perdagangan (Office of Government Commerce). Penggunaan ITIL pada awalnya masih terbatas di negara Inggris dan Belanda. Sampai saat ini, ITIL versi terakhir adalah ITIL versi 3 yang diterbitkan pada 30 Juni 2007. Pada ITIL versi 3, lebih ditekankan pada pengelolaan lifecycle dari layanan yang disediakan oleh TI. Pada lifecycle tersebut dibagi menjadi 5 bagian, yaitu: 1. Service Strategy, mempunyai tujuan untuk menunjukkan organisasi bagaimana cara untuk mengubah manajemen pelayanan (service management) menjadi aset strategis dan untuk kemudian berpikir dan bertindak secara strategis. Service strategy digunakan untuk membantu menjawab pertanyaan sebagai berikut, layanan apa yang harus ditawarkan dan kepada siapa, apa yang bisa membedakan layanan kita dari yang lain, bagaimana sumber daya harus dialokasikan dan
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
25
bagaimana kinerja dari layanan akan diukur. Proses-proses yang dicakup dalam Service Strategy antara lain: a. Service Portfolio Management b. Financial Management c. Demand Management 2. Service Design, dimulai dengan satu set kebutuhan bisnis dan berakhir dengan pengembangan solusi layanan yang dirancang untuk memenuhi kebutuhan bisnis tersebut serta untuk menghasilkan Service Design Package (SDP) untuk serah terima ke Service Transition. Service Design memberikan panduan kepada organisasi TI untuk dapat secara sistematis dan best practice mendesain dan membangun layanan TI. Service Design berisi prinsip-prinsip dan metode-metode desain untuk mengkonversi tujuan-tujuan strategis organisasi TI dan bisnis menjadi portofolio/koleksi layanan TI serta aset-aset layanan. Ruang lingkup Service Design tidak melulu hanya untuk mendesain layanan TI baru, namun juga proses-proses perubahan maupun peningkatan kualitas layanan, kontinyuitas layanan maupun kinerja dari layanan. Prosesproses yang dicakup dalam Service Design yaitu: a. Service Catalog Management b. Service Level Management c. Supplier Management d. Capacity Management e. Availability Management f. IT Service Continuity Management g. Information Security Management 3. Service Transition, menyediakan panduan kepada organisasi TI mengembangkan dan mengimplementasikan design yang telah dibuat pada Service Design ke area produksi (operasional). Tahapan lifecycle ini memberikan gambaran bagaimana sebuah kebutuhan yang didefinisikan dalam Service Strategy kemudian dibentuk dalam Service Design untuk selanjutnya secara efektif direalisasikan dalam Service Operation. Proses-proses yang dicakup dalam Service Transition yaitu:
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
26
a. Transition Planning and Support b. Change Management c. Service Asset & Configuration Management d. Release & Deployment Management e. Service Validation f. Evaluation g. Knowledge Management 4. Service Operation, mempunyai tujuan memberikan tingkat layanan (service level) yang telah disepakati kepada pengguna dan pelanggan, selain itu untuk mengelola aplikasi, teknologi dan infrastruktur yang mendukung pengiriman layanan tersebut. Proses-proses yang dicakup dalam Service Operation yaitu: a. Event Management b. Incident Management c. Problem Management d. Request Fulfillment e. Access Management 5. Continual Service Improvement (CSI), berkaitan dengan bagaimana cara mempertahankan value bagi pelanggan melalui evaluasi yang berkesinambungan dan peningkatan kualitas layanan dan kematangan keseluruhan lifescyle dari IT service management (ITSM). CSI mengkombinasikan berbagai prinsip dan metode dari manajemen kualitas, salah satunya adalah Plan-Do-Check-Act (PDCA) atau yang dikenal sebagi Deming Quality Cycle
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
27
Gambar 2.4 Kerangka kerja ITIL versi 3
Pada penelitian ini kerangka kerja ITIL versi 3 akan digunakan sebagai acuan dalam melakukan perbaikan prosedur kerja yang ada di PT BEI. 2.5
Manajemen Risiko Dalam melakukan pembahasan menengai manajemen risiko, perlu
diketahui terlebih dahulu mengenai definisi dari risiko itu sendiri. Terdapat beberapa definisai dari risiko, menurut kamus besar bahasa Indonesia, kata risiko mempunyai definisi sebagai berikut “akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan. Menurut Australian Standards/New Zealand Standards 4360:2004
(AS/NZS, 2004),
definisi dari kata risiko adalah “peluang terjadinya sesuatu yang akan berdampak dalam pencapaian tujuan. Dalam hal ini risiko diukur dari besaran konsekuensi dan kemungkinan kejadiannya. Menurut kedua pengertian di atas, dapat diketahui bahwa risiko merupakan akibat yang kurang menyenangkan yang dapat berdampak pada pencapaian tujuan, risiko itu sendiri diukur dari dampak yang ditimbulkannya dan kemungkinan terjadinya risiko tersebut. Setelah mengetahui definisi dari risiko, selanjutnya akan dibahas mengenai beberapa definisi dari manajemen risiko. Menurut Australian Standards/New Zealand Standards 4360:2004, definisi dari manajemen risiko adalah suatu proses yang logis dan sistematis dalam mengidentifikasi, menganalisa, mengevaluasi, mengendalikan, mengawasi, dan mengkomunikasikan risiko yang berhubungan
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
28
dengan segala aktivitas, fungsi atau proses dengan tujuan perusahaan mampu meminimasi kerugian dan memaksimumkan kesempatan. Implementasi dari manajemen risiko ini membantu perusahaan dalam mengidentifikasi risiko sejak awal dan membantu membuat keputusan untuk mengatasi risiko tersebut. Sedangkan menurut
NIST - National Institute of Standard and
Technology (Stoneburner, 2004) definisi dari manajemen risiko adalah proses dari mengidentifikasi, mengontrol dan meringankan sistem informasi terkait risiko yang melingkupi
pengkajian risiko, analisa
manfaat
biaya, pemilihan,
implementasi, pengetesan dan evaluasi keamanan. Berdasarkan definisi di atas, maka dapat diambil kesimpulan bahwa manajemen risiko merupakan sebuah proses di dalam melakukan identifikasi risiko, kemudian menganalisis risiko, serta melakukan pemilihan langkah-langkah untuk meminimalisir risiko tersebut. Selanjutnya akan disampaikan beberapa framework manajemen risiko. 2.6
Framework NIST NIST (National Institute of Standard and Technology ) mengeluarkan
rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System (Stoneburner, 2004). Terdapat tiga proses dalam manajemen risiko
Gambar 2.5 Framework Risk manajemen NIST 800-30
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
29
Berikut ini merupakan penjelasan singkat untuk setiap proses yang terdapat pada framework NIST. 1. Penilaian risiko (risk assessment) merupakan proses yang mencakup identifikasi, evaluasi risiko, dampak risiko, pengukuran nilai risiko dan penyusunan rekomendasinya 2. Mitigasi risiko (risk mitigation) merupakan proses yang penseleksian rekomendasi
yang
telah
assessment,membuat
urutan
saat
risk
implementasi
dan
disampaikan prioritas
pada
mengimplementasi control yang dipilih. 3. Evaluasi risiko (risk evaluation) merupakan proses untuk melakukan evaluasi apakah pendekatan manajemen risiko yang telah diterapkan sudah sesuai atau belum. Dalam evaluasi ini termasuk evaluasi efektifitas control dan harus dilakukan secara terus menerus untuk memperbaiki kinerja manajemen risiko. Penjelasan untuk masing-masing tahapan di atas akan dijelaskan secara lebih detail pada bagian dibawah ini a.
Langkah-langkah dalam penilaian risiko: 1. Mengetahui karakteristik dari sistem TI: hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, arsitektur keamanan sistem, topologi jaringan sistem. 2. Identifikasi Ancaman yang mungkin menyerang kelemahan sistem TI. Sumber ancaman bisa berasal dari alam, manusia dan lingkungan. 3. Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur keamanan, desain, implementasi, dan internal kontrol terhadap sistem sehingga menghasilkan pelanggaran terhadap kebijakan keamanan sistem. 4. Menganalisa kontrol – kontrol yang sudah diimplementasikan atau direncanakan
untuk
diimplementasikan
oleh
organisasi
untuk
mengurangi atau menghilangkan kecenderungan (kemungkinan) dari suatu ancaman menyerang sistem yang vulnerable.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
30
5. Penentuan kecenderungan (likelihood) dari kejadian bertujuan untuk memperoleh penilaian terhadap keseluruhan kecenderungan yang mengindikasikan kemungkinan potensi vulnerability diserang oleh lingkungan ancaman yang ada. Di PT BEI, likelihood tersebut dapat dikategorikan menjadi 5 bagian yaitu: sangat tinggi, tinggi, sedang, rendah dan sangat rendah.Detail dari kategori tersebut dapat dilihat pada bab 5, pada bagian risk assessment. 6. Analisa dampak yang didapatkan dari pengukuran dampak yang terjadi ketika ancaman dapat mengeksploitasi vulnerability. Seperti loss of integrity, loss of availability, dan loss of confidentiality. Pengukuran dampak dari risiko TI dapat dilakukan secara kualitatif maupun kuantitatif. Di PT BEI, dampak tersebut dapat dikategorikan menjadi 5 bagian yaitu: sangat tinggi, tinggi, sedang, rendah dan sangat rendah. Detail dari kategori tersebut dapat dilihat pada bab 5, pada bagian risk assessment. 7. Penentuan level risiko. Penentuan level risiko dari Sistem TI yang merupakan pasangan ancaman dan vulnerability dari suatu fungsi ditentukan oleh aspek-aspek berikut ini:
Kecenderungan
suatu
sumber
ancaman
menyerang
vulnerability dari sistem TI.
Besaran dampak yang akan terjadi jika sumber ancaman sukses menyerang vulnerability dari sistem TI.
Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan menghilangkan risiko.
8. Penyusunan rekomendasi untuk mengurangi risiko dari sistem TI sehingga mencapai level yang dapat diterima. 9. Melakukan dokumentasi hasil identifikasi risiko dalam bentuk laporan.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
31
b.
Langkah-langkah dalam mitigasi risiko: 1. Prioritas aksi, berdasarkan tingkat level risiko yang dihasilkan pada tahapan penilaian risiko maka ditentukan prioritas aksi yang akan dilakukan. Keluaran dari tahapan pertama ini adalah urutan prioritas aksi yang dimulai dari tingkat level risiko yang tinggi hingga yang paling rendah. 2. Melakukan evaluasi control yang direkomendasikan. Pada tahapan ini dilakukan evaluasi terhadap rekomendasi control yang dihasilkan pada tahapan penilain risiko, untuk melihat apakah rekomendasi tersebut layak diimplementasikan di dalam organisasi. 3. Analisa cost benefit, tujuannya untuk menggambarkan biaya dan keuntungan jika
mengimplementasikan
atau
tidak
mengimplementasikan control – control tersebut. 4. Pemelihan control, berdasarkan hasil cost benefit analysis, manajemen menentukan kontrol dengan biaya paling efektif untuk mengurangi risiko terhadap misi organisasi. 5. Memberikan tanggung jawab, personil yang sesuai (personil dari dalam atau personil yang dikontrak dari luar) yang memiliki keahlian dan ketrampilan ditugaskan untuk mengimplementasikan pemilihan kontrol yang diidentifikasi, dan bertanggung jawab terhadap yang ditugaskan. 6. Membangun rancangan implementasi keamanan, pada tahapan ini mengembangkan
rancangan
implementasi
control
keamanan
berdasarkan hasil prioritasi aksi, cost benefit analysis dan pembagian tanggung jawab. 7. Mengimplementasikan control, pada tahapan ini akan dilakukan implementasi control-control yang telah dipilih. c.
Langkah-langkah dalam proses evaluasi risiko: Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko
yang diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
32
untuk
memastikan
keberadaan
risiko
yang
teridentifikasi
maupun
risiko
yang
belum
teridentifikasi. Tabel 2.5 Template Risk Assessment No
Karakteristik sistem TI
Threat
Vulnerability
Likelihood
Impact
Risk Exposure
Rekomendasi
1. 2. 3. Dalam karya akhir ini, risk assessment yang akan dilakukan adalah seabagi berikut: 1. Untuk karakteristik sistem, threat dan vulnerability akan menggunkan risk driver yang terdapat pada dokumen Cobit Control Practice (ITGI, 2007). 2. Penentuan kategori likelihood, impact dan risk exposure didasarkan pada dokumen pedoman manajemen risiko 3. Rekomendasi didapatkan dari rekomendasi perbaikan sesuai dengan hasil assessment maturity attribute.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
3
BAB III
METODOLOGI PENELITIAN 3.1
Metodologi Pada bagian metodologi penelitian ini, penulis akan merumuskan langkah-
langkah apa saja yang dilakukan untuk mencapai hasil penelitian yang sesuai harapan.
Gambar 3.1 Tahapan Penelitian
33
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
34
1.
Tahap 1: Penyertaan Masalah
Pada tahapan ini akan dilakukan penjabaran latar belakang penelitian dan perumusan masalah.
2.
Input:ketidaksesuaian realita dengan harapan
Proses: Identifikasi masalah
Out put: masalah apa yang ingin dipecahkan
Tahap 2: Penyusunan Studi Literatur Teori
Pada tahapan ini akan dilakukan eksplorasi literature-literatur yang sesuai dengan permasalahan yang dihadapi dalam penelitian ini
3.
Input:Teori dan Penelitian yang relevan
Proses: Mencari teori yang sesuai
Out put: Mengetahui teori yang sesuai
Tahap 3: Menentukan metode pengukuran
Pada tahapan ini akan dilakukan pemilihan metode pengukuran yang sesuai untuk mengukur tingkat kemapanan tata kelola
4.
Input: Masalah dan teori yang sesuai
Proses: Menentukan metode pengukuran dan data yang dibutuhkan
Out put: Metode pengukuran
Tahap 4: Pengumpulan Data
Pada tahapan ini akan dilakukan pengumpulan data-data pendukung guna menunjang pelaksanaan penelitian.
5.
Input:Data kuantitatif dan Wawancara
Proses: Mengumpulkan data dan informasi
Out put: Data yang dibutuhkan
Tahap 5: Analisis,Pengukuran kemapanan dan Penyusunan Rekomendasi
Pada tahapan ini akan dilakukan analisis dan pengukuran kemapanan sesuai dengan metode pengkuran dan data yang tersedia.
Input: Data yang dibutuhkan
Proses: Melakukan analisa dan perhitungan tingkat kemapanan dan menyusun rekomendasi perbaikan
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
35
6.
Out put: Nilai tingkat kemapanan eksisting dan rekomendasi perbaikan
Tahap 6: Menyusun Program
Pada tahapan ini akan dilakukan penyusunan program sesuai dengan nilai tingkat kemapanan dan rekomendasi perbaikan.
7.
Input: Nilai tingkat kemapanan eksisting dan rekomendasi perbaikan
Proses: Melakukan penyusunan program
Out put: Program yang akan dilaksanakan
Tahap 7: Validasi
Pada tahapan ini akan dilakukan validasi hasil pengukuran tingkat kemapanan, rekomendasi perbaikan dan program yang diusulkan.
Input: Nilai tingkat kemapanan, rekomendasi perbaikan dan usulan program
Proses: Melakukan konfirmasi hasil pengukuran tingkat kemapanan, rekomendasi perbaikan dan usulan program kepala Divisi OTI dan MRI
8.
Out put: Hasil konfirmasi
Tahap 8: Pelaksanaan program
Pada tahapan ini akan dilakukan implementasi program yang telah diusulkan.
9.
Input: Usulan program yang telah dikonfirmasi
Proses: Melakukan implementasi program
Out put: Hasil pelaksanaan program
Tahap 9: Review, Kesimpulan dan Saran
Pada tahapan ini akan disampaikan hasil review, kesimpulan dan saran sesuai hasil penelitian. Kesimpulan menggambarkan hasil akhir penelitian secara keseluruhan.
Input: Hasil konfirmasi dan hasil pelaksanaan program
Proses: Menyampaikan kesimpulan dan saran
Out put: Hasil review, kesimpulan dan saran
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
36
3.2
Framework Penelitian Adapun framework penelitian yang digunakan adalah sebagai berikut:
Gambar 3.2 Framework penelitian
Berikut ini akan dijelaskan secara singkat mengenai alur dari framework penelitian yang terdapat pada gambar di atas: 1.
Langkah
pertama
dalam
framework
tersebut
adalah
melakukan
assessment nilai maturity cobit berdasarkan maturity attribute dari setiap proses di domain DS. 2. Menyusun
rekomendasi
perbaikan
berdasarkan
hasil
assessment,
rekomendasi yang diberikan bertujuan agar setiap maturity attribute mempunyai nilai maturity level mencapai 4. 3. Melakukan risk assessment untuk melihat tingkat risiko jika rekomendasi perbaikan tidak dilakukan. Hal ini dapat dijadikan pertimbangan dalam menentukan rekomendasi mana yang harus diimplementasikan terlebih dahulu. Dalam melakukan risk assessment akan mengacu kepada risk driver yang terdapat di control practice Cobit. 4. Langkah selanjutnya adalah melakukan validasi hasil rekomendasi dan melakukan penyusunan program yang termasuk didalamnya melakukan perbaikan SOP. Dalam menyusun SOP akan memperhatikan best practice dari ITIL versi 3.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
4
BAB IV
PROFIL PERUSAHAAN IDX (Indonesia Stock Exchange) atau yang lebih dikenal dengan Bursa Efek Jakarta adalah pasar modal yang berpusat di Jakarta. Pasar modal atau bursa efek telah ada sejak tahun 1912, sebelum Indonesia merdeka, didirikan oleh pemerintah Hindia Belanda untuk kepentingan pemerintah kolonial atau VOC. Namun perkembangan dan pertumbuhan pasar modal tidak berjalan sesuai harapan bahkan di beberapa periode kegiatan pasar modal mengalami kekosongan baik akibat perang dunia pertama dan kedua, perpindahan kekuasaan dari pemerintah kolonial ke pemerintah Republik Indonesia, serta kondisi lainnya yang menyebabkan operasi bursa efek tidak dapat berjalan. Pemerintah Indonesia mengaktifkan kembali bursa efek pada tahun 1977, dan beberapa tahun kemudian pasar modal mengalami pertumbuhan seiring dengan berbagai insentif dan regulasi yang dikeluarkan oleh pemerintah. Sejarah perkembangan pasar modal Indonesia dapat dilihat pada tabel 4.1. Tabel 4.1 Sejarah Perkembangan BEI
PERIODE Desember 1912 1914 – 1918 1925 – 1942
Awal tahun 1939
1942 – 1952
1956
SEJARAH PERKEMBANGAN Bursa efek pertama di Indonesia dibentuk di Batavia oleh Pemerintah Hindia Belanda. Bursa efek di Batavia ditutup selama Perang Dunia I. Bursa efek di Jakarta, Semarang dan Surabaya dibuka kembali. Karena isu politik (Perang Dunia II) bursa efek di Semarang dan Surabaya ditutup. Bursa efek di Jakarta ditutup kembali selama Perang Dunia II. Program nasionalisasi perusahaan Belanda. Bursa efek semakin tidak aktif. 37
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
38
Tabel 4.2 Sejarah Perkembangan BEI (lanjutan)
PERIODE 1956 – 1977
SEJARAH PERKEMBANGAN Perdagangan di bursa efek vakum. Bursa efek diresmikan kembali oleh Presiden Soeharto. Bursa Efek Jakarta (BEJ) dijalankan di bawah BAPEPAM
10 Agustus 1977
(Badan Pelaksana Pasar Modal). Tanggal 10 Agustus diperingati
sebagai
hari
peringatan
pasar
modal.
Pengaktifan kembali pasar modal ini juga ditandai dengan go public PT Semen Cibinong sebagai emiten. Perdagangan di bursa efek sangat lesu. Jumlah emiten 1977 – 1987
hingga tahun 1987 baru mencapai 24 emiten. Masyarakat lebih
memilih
instrumen
perbankan
dibandingkan
instrumen pasar modal. Ditandai
dengan
hadirnya
Paket
Desember
1987
(PAKDES 87) yang memberikan kemudahan bagi
1987
perusahaan untuk melakukan penawaran umum dan investor asing menanamkan modal di Indonesia. Paket deregulasi dibidang perbankan dan pasar modal
1988 – 1990
diluncurkan. Pintu Bursa Efek Jakarta terbuka untuk asing. Aktivitas bursa mulai meningkat. Bursa Paralel Indonesia (BPI) mulai beroperasi dan
2 Juni 1988
dikelola oleh Persatuan Perdagangan Uang dan Efek (PPUE), sedangkan organisasinya terdiri dari pialang (broker) dan agen (dealer). Pemerintah mengeluarkan Paket Desember 88 (PAKDES
Desember 1988
88) yang memberikan kemudahan perusahaan untuk go public dan beberapa kebijakan lain yang positif bagi pertumbuhan pasar modal.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
39
Tabel 4.3 Sejarah Perkembangan BEI (lanjutan)
PERIODE
SEJARAH PERKEMBANGAN Bursa Efek Surabaya (BES) mulai beroperasi dan dikelola
16 Juni 1989
oleh perseroan terbatas milik swasta yaitu PT Bursa Efek Surabaya. Penswastaan Bursa Efek Jakarta. BAPEPAM berubah
13 Juli 1992
menjadi Badan Pengawas Pasar Modal. Tanggal ini diperingati sebagai hari ulang tahun PT Bursa Efek Jakarta. Sistem Otomasi perdagangan dilaksanakan di PT Bursa
22 Mei 1995
Efek Jakarta menggunakan sistem computer JATS (Jakarta Automated Trading Systems). Pemerintah mengeluarkan Undang-undang No. 8 Tahun
10 November 1995
1995 tentang pasar modal yang mulai berlaku sejak Januari 1996. Bursa Paralel Indonesia merger dengan Bursa Efek
1995
Surabaya. Sistem perdagangan tanpa warkat (scripless trading) mulai
2000
diaplikasikan di pasar modal Indonesia. PT Bursa Efek Jakarta mulai mengaplikasikan sistem
2002
perdagangan jarak jauh (remote trading). Bursa Efek Surabaya dan Bursa Efek Jakarta bergabung
2007
menjadi Bursa Efek Indonesia (BEI).
2 Maret 2009
Peluncuran perdana sistem perdagangan baru PT Bursa Efek Indonesia, yaitu JATS-NextG.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
40
Visi PT Bursa Efek Indonesia adalah menjadi bursa yang kompetitif dengan kredibilitas tingkat dunia. Dengan misi menciptakan daya saing untuk menarik investor dan perusahaan tercatat (listed emiten), melalui pemberdayaan anggota bursa, penciptaan nilai tambah, efisiensi biaya serta penerapan good governance. 4.1
Tata Kelola Organisasi Tata kelola perusahaan atau corporate governance adalah sistem yang
dirancang dalam rangka mengarahkan pengelolaan perusahaan secara profesional berdasarkan
prinsip-prinsip
transparansi,
akuntabilitas,
tanggung
jawab,
kemandirian, kewajaran dan kesetaraan. Sebagai SRO (Self Regulatory Organization), sudah semestinya jika PT Bursa Efek Indonesia menjadi panutan bagi perusahaan publik atau perusahaan tercatat dan juga perusahaan efek, terutama Perusahaan Efek Anggota Bursa (PE AB), sehingga penerapan tata kelola perusahaan yang baik (Good Corporate Governance - GCG) menjadi sangat penting. Pada akhir 2010, penyempurnaan pedoman GCG ini sudah mulai masuk tahapan akhir. Dipastikan pada kuartal pertama 2011 nanti (hal ini sudah dilaksanakan pada kuartal pertama 2011, PT Bursa Efek Indonesia telah memiliki piagam (charter) GCG yang baru dalam bentuk buku manual agar mudah disosialisasikan kepada seluruh karyawan PT Bursa Efek Indonesia. Termasuk di dalamnya terkait dengan penyempurnaan nilai-nilai perusahaan, pedoman perilaku dan kode etik. Tujuan pedoman tata kelola (Corporate Governance) PT Bursa Efek Indonesia adalah: 1.
Sebagai pedoman bagi dewan komisaris dalam melaksanakan pengawasan dan pemberian saran-saran kepada direksi dalam pengelolaan perusahaan.
2.
Sebagai pedoman bagi direksi agar dalam menjalankan perusahaan seharihari dilandasi dengan nilai moral yang tinggi dengan memperhatikan anggaran dasar, etika bisnis, perundang-undangan dan peraturan yang berlaku lainnya.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
41
3.
Sebagai pedoman bagi jajaran manajemen dan karyawan PT Bursa Efek Indonesia dalam melaksanakan kegiatan atau tugas sehari-hari sesuai dengan prinsip-prinsip tata kelola perusahaan yang baik. Dalam rangka mencapai visi perusahaan serta melaksanakan misi
perusahaan maka pada tahun 2010 disosialisasikan tata nilai (core value) perusahaan yang terdiri dari: 1.
Kerjasama (Teamwork).
2.
Integritas (Integrity).
3.
Profesionalisme (Professionalism).
4.
Pelayanan prima (Service Excellence). Tata nilai tersebut kemudian diimplementasikan dalam kompetensi inti
(core competencies), yaitu: 1. Membangun Kepercayaan (Building Trust). 2. Integritas (Integrity). 3. Memiliki keunggulan (Strive for Excellence). 4. Fokus kepada Pelanggan (Customer Focus). Proses implementasi tata kelola perusahaan PT Bursa Efek Indonesia yang berkelanjutan merupakan salah satu rencana pengembangan untuk mencapai visi dan misi perusahaan. Rencana tersebut dibuat oleh divisi manajemen risiko dalam beberapa program seperti program sosialisasi dan peningkatan kesadaraan (awareness), pemantauan (monitoring) dan penilaian (assessment) implementasi tata kelola perusahaan yang baik secara berkala, serta penyempurnaan pedoman, piagam dan prosedur tata kelola perusahaan yang baik.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
42
4.2
Struktur Organisasi Berikut ini merupakan struktur organisasi dari PT Bursa Efek Indonesia
(BEI).
Gambar 4.1 Struktur Organisasi BEI
Berikut ini merupakan struktur detil dari direktorat Teknologi Informasi dan Manajemen Risiko.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
43
Gambar 4.2 Struktur Direktorat TMR
Pada direktorat Teknologi Informasi dan Manajemen Risiko terdapat 3 Divisi seperti yang telah disebutkan pada bagian pendahuluan di Bab 1. Berkaitan dengan penelitian yang akan dilakukan akan banyak berkaitan dengan Divisi Operasi TI (OTI), berikut ini akan disampaikan secara singkat mengenai job description pada masing-masing unit kerja. Pada saat ini terdapat 4 unit kerja yang berada di bawah di Divisi OTI, yaitu: 1. Unit Sistem Manajemen Bertanggung jawab untuk memastikan adanya harmonisasi kerja terkait dengan
pemenuhan
permintaan
pengadaan
pengembangan
produk,
infrastruktur, peraturan operasional teknologi informasi baik bagi operasional perkantoran maupun operasional bisnis yang ada di Bursa Efek Indonesia dengan mengacu pada standar IT Governance yang ditetapkan. 2. Unit Operasi Bisnis
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
44
Bertanggungjawab untuk memastikan terlaksananya operasional sistem bisnis BEI berbasis teknologi informasi berjalan secara efektif dan efisien. 3. Unit Operasi Perkantoran Bertanggungjawab untuk memastikan terlaksananya operasional sistem perkantoran BEI berbasis teknologi informasi berjalan secara efektif dan efisien. 4. Unit Network and Technical Support Bertanggung jawab untuk memastikan terlaksananya kegiatan perencanaan, dukungan proses pengadaan perangkat dan penerapan infrastruktur jaringan dan dukungan teknis serta ketersediaan dan kehandalan sistem (perdagangan dan perkantoran).
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
5
BAB V
ANALISIS DAN PEMBAHASAN
Pada bagian ini akan dibahas tentang hasil analisis dan pembahasan mengenai penerapan tata kelola TI yang terdapat di PT BEI.
Analisis dan
pembahasan yang dilakukan meliputi:
5.1
kondisi tata kelola pada saat ini
evidence dari penerapan tata kelola tersebut serta
gap analysis kondisi eksisting dengan kondisi ideal
Metode untuk Assessment Penerapan Tata Kelola TI Guna membantu dalam melakukan analisis kondisi tata kelola pada PT
BEI, penulis akan menggunakan metode wawancara, observasi dan melakukan kaji dokumen, khususnya untuk Divisi Operasi TI. Hal ini dilakukan karena domain Delivery and Support (DS) lebih banyak terkait dengan Divisi Operasi TI. Analisis yang dilakukan meliputi prosedur TI yang terdapat di Divisi Operasi TI, observasi penerapan prosedur dalam kegiatan operasional TI dan mencari ketidaksesuaian antara prosedur yang ada dengan kenyataan di lapangan. Berdasarkan hasil analisis dapat diketahui bahwa di Divisi Operasi mempunyai 25 prosedur yang digunakan sebagai acuan dalam melakukan kegiatan operasional TI di PT BEI. Hasil analisis ini dapat digunakan sebagai gambaran awal untuk mengetahui penerapan prosedur di PT BEI sebelum melakukan assessment nilai kemapanan berdasarkan cobit. Hasil analisis dapat dilihat pada tabel 5.1 analisis prosedur.
45
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
46
Tabel 5.1 Analisis SOP Divisi Operasi TI Self Assessment
No
Nama Acuan Kerja
1
SOP-001 Permintaan layanan
2
3
4
SOP-002 Backup rutin office
SOP-003 Backup perdagangan saham SOP-004 Backup multimarket
Referensi
Penjelasan mengenai ketidaksesuaian dengan referensi
√ Cobit,
X Form sudah dibuat, namun perlu ditingkatkan konsistensinya. Hal ini untuk mencapai cobit level 4
Kesesuaian dengan proses di area kerja
Pembagian Tanggung Jawab
Integrasi Proses
Pengendalian Risiko
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Tindak Lanjut Perbaikan
Melakukan penyesuaian mekanisme penyampaian hasil backup.
47
Tabel 5.2 Analisis SOP Divisi Operasi TI (lanjutan) Self Assessment No
5
Nama Acuan Kerja
SOP-005 Penanganan incident
Referensi
Penjelasan mengenai ketidaksesuaian dengan referensi
Kesesuaian dengan proses di area kerja
Pembagian Tanggung Jawab
Integrasi Proses
Pengendalian Risiko
√
√
√
X
√
√
√
√
√
X
SOP-006 Penanganan masalah perkantoran 6
7
8
SOP-007 Penanganan masalah saham SOP-008 Penanganan masalah multimarket
√
√
√
√
X
√
√
√
√
X
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Tindak Lanjut Perbaikan Terkait Integrasi Proses: Dibutuhkan adanya rencana integrasi dengan prosedur BCP. Terkait Pengendalian Risiko: - Pembuatan work instruction
Terkait Pengendalian Risiko: Dibutuhkan adanya tambahan work instruction Terkait Pengendalian Risiko: - Pembuatan work instruction
48
Tabel 5.3 Analisis SOP Divisi Operasi TI (lanjutan) Self Assessment No
9
Nama Acuan Kerja
SOP-009 Akses masuk ruang server
12
SOP-010 StartupShutdown Perdagangan saham SOP-011 StartupShutdown Perdagangan multimarket SOP-012 Manajemen account
13
SOP-014 Monitoring bisnis
10
11
Kesesuaian dengan proses di area kerja
Pembagian Tanggung Jawab
Integrasi Proses
Pengendalian Risiko
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
Referensi
ISO27001
Penjelasan mengenai ketidaksesuaian dengan referensi X - Perlu dilakukan peningkatan konsistensi dalam pelaksanaan SOP
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Tindak Lanjut Perbaikan
49
Tabel 5.4 Analisis SOP Divisi Operasi TI (lanjutan) Self Assessment No
Nama Acuan Kerja
14
SOP-013 Monitoring perkantoran
15
SOP-015 Manajemen Operasional SOP-016 Persediaan
16
Kesesuaian dengan proses di area kerja
Pembagian Tanggung Jawab
Integrasi Proses
Pengendalian Risiko
√
√
√
√
√
√
√
√
√
√
Referensi
Penjelasan mengenai ketidaksesuaian dengan referensi
√
√
√
√
X
√
√
√
√
X
√
√
X
SOP-017 Lisensi 17
18
SOP-018 Pemeliharaan
√
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Tindak Lanjut Perbaikan
Terkait Pengendalian Risiko: Dibutuhkan adanya tool untuk pengelolaan persediaan perangkat Terkait Pengendalian Risiko: Dibutuhkan adanya tool untuk pengelolaan lisensi Terkait Pengendalian Risiko: - Perlu ditambahkan mekanisme teguran dan template surat teguran
50
Tabel 5.5 Analisis SOP Divisi Operasi TI (lanjutan) Self Assessment No
19
20
21
22
23
Nama Acuan Kerja
SOP-019 Disposal SOP-020 Change Management
SOP-021 Configuration Management SOP-022 Kelangsungan pelayanan SOP-023 Manajemen pelayanan
Referensi
Penjelasan mengenai ketidaksesuaian dengan referensi
√
Kesesuaian dengan proses di area kerja
Pembagian Tanggung Jawab
Integrasi Proses
Pengendalian Risiko
√
√
√
√
√
√
√
√
√
√
√
√
√
X
√
√
√
√
√
√
√
√
√
Cobit,
X Form sudah dibuat, namun perlu ditingkatkan konsistensinya dalam pelaporan SLA. Hal ini untuk mencapai cobit level 4
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Tindak Lanjut Perbaikan
Terkait Rencana Mitigasi: Melakukan sosialisasi dengan Div PTI untuk perbaikan delivery Terkait Pengendalian Risiko: - Diperlukan adanya tool CMDB untuk membantu manage konfigurasi
51
Tabel 5.6 Analisis SOP Divisi Operasi TI (lanjutan) Self Assessment No
Nama Acuan Kerja
Referensi
Penjelasan mengenai ketidaksesuaian dengan referensi
Kesesuaian dengan proses di area kerja
Pembagian Tanggung Jawab
Integrasi Proses
Pengendalian Risiko
Tindak Lanjut Perbaikan Terkait pengendalian Risiko dan Kesesuaian di area kerja: - Akan dilakukan pembuatan form pendukung - Patch IDXNET dan Website akan dilakukan pengujian
SOP-024 Pacth management 24
√
SOP-025 Capacity planning
25
ISO27001 ITIL V3
X - Perlu ditambahkan aplikasi yang diukur, idealnya semua sistem bisnis dan sistem office - Perlu dilakukan pengukuran kapasitas pada saat dilakukan enhancement sistem
X
√
√
X
√
√
√
√
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
52
5.2
Pengukuran Kemapanan Tata Kelola Setelah mengetahui kondisi eksisting dari tata kelola yang terdapat di PT
BEI, langkah selanjutnya yang akan dilakukan adalah melakukan pengukuran tingkat kemapanan Tata Kelola tersebut dan mencari gap yang ada sehingga dapat mencapai tingkat kemapanan yang diinginkan (level 4). Assessment yang dilakukan berdasarkan maturity attribute dari setiap proses yang terdapat pada domain DS. Berikut ini adalah daftar maturity attribute beserta deskripsi dari setiap level dari attribute tersebut.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
53
Tabel 5.7 Maturity Attribute ML 1
2
Awareness and Communication (AC) Recognition of the need for the process is emerging. There is sporadic communication of the issues.
Policies, Plans and Procedures (PPP) There are ad hocapproaches to processes and practices. The process and policies are undefined.
Tools and Automation (TA) Some tools may exist; usage is based on standard desktop tools. There is no planned approach to the tool usage.
Skills and Expertise (SE) Skill required for the process are not identified. A training plan does not exist and no formal training occurs.
There is awareness of the need to act. Management communicates the overall issues.
Similar and common processes emerge, but are largely intuitive because of individual expertise. Some aspects of the process are repeatable because of individual expertise, and some documentation and informal understanding of policy and procedures may exist.
Common approaches to use of tools exist but are based on solutions developed by key individuals. Vendor tools may have been acquired, but are probably not applied correctly, and may even be shelfware.
Minimum skill requirements are identified for critical areas. Training is provided in response to needs, rather than on the basis of an agreed plan, and informal training on the job occurs.
Responsibility and Accountability (RA) There is no definition of accountability and responsibility. People take ownership of issues based on their own initiative on a reactive basis. An individual assumes his/her responsibility and is usually held accountable, even if this is not formally agreed. There is confusion about responsibility when problems occur, and a culture of blame trends to exist.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
Goal Setting and Measurement (GM) Goals are not clear and no measurement takes place.
Some goal setting occurs; some financial measures are established but are known only by senior management. There is inconsistent monitoring in isolated areas.
54
Tabel 5.2 Maturity Attribute (lanjutan) ML 3
4
Awareness and Communication (AC) There is understanding of the need to act. Management is more formal and structured in its communication.
There is understanding of the full requirements. Mature communication techniques are applied and standard communication tools are in use.
Policies, Plans and Procedures (PPP)
Tools and Automation (TA)
Skills and Expertise (SE)
Responsibility and Accountability (RA)
Goal Setting and Measurement (GM)
Usage of good practices emerges. The process, policies and procedures are defined and documented for all key activities.
A plan has been defined for use and standardisation of tools to automate the process. Tools are being used for their basic purposes, but may not all be in accordance with the agreed plan, and may not be integrated with one another.
Skill requirements are defined and documented for all areas. A formal training plan has been developed, but formal training is still based on individual initiatives.
Process responsibility and accountability are defined and process owners have been identified. The process owner is unlikely to have the full authority to exercise the responsibilities.
The process is sound and complete; internal best practices are applied. All aspects of the process are documented and repeatable. Policies have been approved and signed off on by management. Standards for developing and maintaining the processes and procedures are adopted and followed.
Tools are implemented according to a standardised plan, and some have been integrated with other related tools. Tools are being used in main areas to automate management of the process and monitor critical activities and controls.
Skill requirements are routinely updated for all areas, proficiency is ensured for all critical areas, and certification is encouraged. Mature training techniques are applied according to the training plan, and knowledge sharing is encouraged. All internal domain experts are involved, and the effectiveness of the training plan is assessed.
Process responsibility and accountability are accepted and working in a way that enables a process owner to fully discharge his/her responsibilities. A reward culture is in place that motivates positive action.
Some effectiveness goals and measures are set, but are not communicated, and there is a clear link to business goals. Measurement processes emerge, but are not consistently applied. IT balanced scorecard ideas are being adopted, as is occasional intuitive application of root cause analysis. Efficiency and effectiveness are measured and communicated and linked to business goals and the IT strategic plan. The IT balanced scorecard is implemented in some areas with exceptions noted by management and root cause analysis is being standardised. Continuous improvement is emerging.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
55
Tabel 5.2 Maturity Attribute (lanjutan) ML 5
Awareness and Communication (AC) There is advanced, forward-looking understanding of requirements. Proactive communication of issues based on trends exists, mature communication techniques are applied, and integrated communication tools are in use.
Policies, Plans and Procedures (PPP) External best practices and standards are applied. Process documentation is evolved to automated workflows. Processess, policies and procedures are standardised and integrated to enable end-to-end management and improvement.
Tools and Automation (TA)
Skills and Expertise (SE)
Responsibility and Accountability (RA)
Goal Setting and Measurement (GM)
Standardised tools sets are used across the enterprise. Tools are fully integrated with other related tools to enable end-to-end support of the processes. Tools are being used to support improvement of the process and automatically detect control exceptions.
The organisation formally encourages continuous improvement of skills, based on clearly defined personal and organisational goals. Training and education support external best practices and use of leading-edge concepts and techniques. Knowledge sharing is an enterprise culture, and knowledge-based systems are being deployed. External experts and industry leaders are used for guidance.
Process owners are empowered to make decisions and take action. The acceptance of responsibility has been cascaded down throughout the organisation in a consistent fashion.
There is an integrated performance measurement performance measurement system linking IT performance to business goals by global application of the IT balanced scorecard. Exceptions are globally and consistently noted by management and root cause analysis is applied. Continuous improvement is a way of life.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
56
Setelah mengetahui acuan dalam memberikan nilai setiap atribut, pada tahapan selanjutnya akan dilakukan pemetaan kondisi eksisting dalam sistem penilaian tersebut sehingga dapat diketahui nilai untuk setiap proses pada domain DS. 5.2.1
DS1 Define and Manage Service Level Proses yang pertama pada domain DS adalah define and manage service
level. Pada proses ini mempunyai tujuan untuk membentuk komunikasi yang efektif dan selaras antara management TI dengan business customer terkait dengan layanan yang dibutuhkan oleh bisnis. Keselarasan pemahaman tersebut didokumentasikan dalam dokumen service level agreement (SLA). Pada proses ini juga akan melihat aktifitas monitoring dan pelaporan pencapaian SLA secara rutin. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.3. Tabel 5.8 Assessment Maturity Level DS1 define and manage service level MA AC
Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi rutin 1 tahun sekali melalui forum pembahasan service level quality (SLQ) antar Divisi di PT BEI (diatur juga dalam pedoman pengelolaan layanan TI). - Telah dilakukannya program induksi untuk karyawan baru.
ML
Status Meet
1
2
- Materi induksi karyawan baru. - Dokumen SLQ
Meet
3
- Dokumen SLQ. - Materi induksi karyawan baru. - Form laporan SLA. - Form survey kepuasan pelanggan. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Meet
- Adanya pelaporan pencapaian SLA kepada user pada setiap bulannya. - Telah dilakukannya survey kepuasan pelanggan.
Evidence
4
5
Not Meet
Not Meet
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
57
Tabel 5.3 Assessment Maturity Level DS1 define and manage service level (lanjutan) MA
Current Condition
PPP
- Terdapat Pedoman Pengelolaan Tingkat Layanan TI yang sudah mengacu ke ITIL v.3 dan terdapat prosedur SOP 023-Manajemen Pelayanan. - Terdapat dokumen Service Level Quality yang selaras antar Divisi, SLA terkait sistem perdagangan yaitu: 99, 75%, dan SLA terkait sistem perkantoran yaitu 95%. - Unit Operasi Bisnis (ITB) dan Unit Operasi Perkantoran (ITO) menyusun laporan SLA untuk aplikasi-aplikasi utama kepada user. - Monitoring SLA untuk service request dilakukan oleh Unit sistem management dan dilaporkan setiap bulan kepada Kepala Divisi Operasi TI dan Direktur. - Review kontrak dilakukan oleh Unit NTS. - Pelaporan SLA kepada user pada saat ini masih belum dilakukan secara regular. Sedangkan laporan ke Direktur TI dalam laporan bulanan, secara rutin sudah dijalankan. - Pada saat ini di PT BEI telah terdapat aplikasi sistem manajemen yang disebut aplikasi Service desk dan aplikasi Budget Realization digunakan untuk monitoring anggaran yang dimiliki oleh Divisi IT dan Divisi user. - Dashboard di Service desk dapat di kustomisasi sesuai level akses. - Manajemen dapat memberikan approval melalui aplikasi Service desk. - Terdapat alert jika sudah mendakati SLA untuk insiden dan service request.
TA
ML
Evidence
Status Meet
1
2
- Dokumen SLQ
Meet
3
- Dokumen SLQ - Laporan SLA sistem - Laporan SLA Service Request - Dokumen SLA Insiden. - Pelaporan kepada user belum dilakukan secara regular.
Meet
4
Not Meet Not Meet
5
1
- Print aplikasi Service desk.
Meet
2
- Print aplikasi Service desk.
Meet
3
- Print aplikasi Service desk.
Meet
4
- Print aplikasi Service desk.
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
58
Tabel 5.3 Assessment Maturity Level DS1 define and manage service level (lanjutan) MA SE
Current Condition - Keahlian yang dibutuhkan sudah tercantum pada job requirement personil terkait.
2
3
- Di dalam Job description telah terdapat job specification dan job requirement Untuk masing-masing jabatan.
4
- Pihak yang betanggung jawab atas pemenuhan SLA adalah Unit operasi perkantoran dan Unit operasi bisnis yang akan didukung oleh Unit Network dan Technical Support (NTS) sebagai second layer support. - SLA disusun berdasarkan kesepakatan antara user dengan tim TI. - Pihak yang bertanggung jawab mengenai pemenuhan SLA untuk menangani request management (permintaannya disebut service request) adalah Unit SM. - Pihak yang bertanggung jawab menangani permintaan pengembangan adalah Divisi Pengembangan TI (PTI). - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
Evidence
Status Meet
1
- Untuk meningkatkan kemampuan karyawan, BEI melakukan training IT IL, CCNA, Windows, Linux, exchange dan lain-lain.
- Pada saat ini PT BEI telah mempunyai karyawan yang memiliki sertifikasi ITIL versi 3 RA
ML
- Job requirement pada Job description Divisi Operasi TI (OTI). - Data Pelatihan tahun 2012 - Job requirement pada Job description Divisi Operasi TI (OTI). - Data Pelatihan tahun 2012 - Printscreen bukti sertifikasi IT-IL versi 3.
Meet
Meet
Meet
5
Not Meet
1
Meet
2
- Job description Kepala Divisi OTI. - Job description Kepala Divisi PTI. - Job description Kepala Unit ITO dan ITB
Meet
3
- Job description Kepala Divisi OTI. - Job description Kepala Divisi PTI. - Job description Kepala Unit ITO dan ITB
Meet
4
- Job description Kepala Divisi OTI. - Job description Kepala Divisi PTI. - Job description Kepala Unit ITO dan ITB - KPI Divisi OTI
Meet
5
Not Meet
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
59
Tabel 5.3 Assessment Maturity Level DS1 define and manage service level (lanjutan) MA
Current Condition
GM
- Untuk mengukur keberhasilan komunikasi yang sudah dilakukan menggunakan KPI Kepala Divisi OTI yang tercantum pada area Improve availability and reliability of internal IT operation, yang mencakup: 1. Menjaga SLA sistem perdagangan dan sistem perkantoran. 2. Memenuhi SLA Incident. 3. Memenuhi SLA Layanan Service desk. - Apabila SLA tidak tercapai hal ini akan performance appraisal, terkait dengan kenaikan gaji dan bonus. - Setiap Divisi memiliki rangking karyawan pada saat performance appraisal berdasarkan pencapaian KPI.
ML
Evidence
Meet
1
2
3
4
Status
- Dokumen acuan SLA Service Request. - Dokumen acuan SLA Insiden. - Dokumen acuan SLA Service Request. - Dokumen acuan SLA Insiden. - KPI Kepala Divisi OTI.
Meet
Meet
Meet
Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS1 define and manage service level adalah 3.67, jika dibulatkan ke bawah menjadi 3. 5.2.2
DS2 Manage Third Party Services Proses yang kedua pada domain DS adalah manage third party services.
Pada proses ini mempunyai tujuan untuk memastikan bahwa service atau layanan yang diberikan oleh pihak ketiga (rekanan atau vendor) dapat memenuhi kebutuhan bisnis. Untuk mencapai hal tersebut dibutuhkan adanya definisi secara jelas mengenai peran, tanggung jawab dan harapan terhadap pihak ketiga yang tertuang dalam perjanjian kerja sama. Dalam hal ini termasuk proses review dan monitoring pelaksanaan perjanjian tersebut untuk meningkatkan efektifitas dan kepatuhan dalam perjanjian tersebut. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.4.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
-
60
Tabel 5.9 Assessment Maturity Level DS2 Manage Third Party Services MA AC
Current Condition
ML
- Untuk meningkatkan awareness dan communication telah dilakukan pemaparan untuk menjelaskan SLA dan layanan yang dibutuhkan pada saat pengadaan jasa pemeliharaan aplikasi atau perangkat. - Telah dilakukan sosialisasi adanya evaluasi kinerja rekanan kepada internal Divisi OTI terutama staff Unit NTS. dan kepada rekanan yang terpilih untuk melakukan pemeliharaan.
1 2
3
4
5
PPP
- Pada saat ini, dalam perjanjian pemeliharaan dibagi menjadi 2 yaitu preventive maintenance (per 3 bulan) dan remedial maintenance (jika terjadi kerusakan) dengan SLA yang mencakup respon time, onsite dan resolution time. - Terdapat prosedur yang mengatur pelaksanaan maintenance dan proses evaluasi pasca dilakukan maintenance - Pihak yang melakukan koordinasi dalam melakukan preventive maintenance dan remedial maintenance adalah adalah Unit NTS. - Pengelolaan Pihak Ketiga diatur dalam Pedoman Tata Kelola TI yang sudah mengacu kepada ISO27001. - Belum terdapat kebijakan dan prosedur yang mengatur mengenai audit vendor dan mekanisme teguran terhadap vendor yang kinerjanya kurang baik.
Evidence
Status Meet
- Dokumen Request For Quotation (RFQ) untuk pemeliharaan perangkat atau aplikasi. - Dokumen Request For Quotation (RFQ) untuk pemeliharaan perangkat atau aplikasi. - Dokumen Joint Planning Session. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Meet
Meet
Not Meet
Not Meet Meet
1 2
- Contoh Form Evaluasi Preventive Maintenance. - Contoh Form Evaluasi Remedial Maintenance.
Meet
3
- Contoh Kontrak Maintenance Hardware. - Contoh Kontrak Maintenance Software. - Pedoman Tata Kelola TI. - Pada saat ini belum terdapat kebijakan dan prosedur yang mengatur mengenai audit vendor secara rutin. - Belum terdapat pengaturan mengenai memberikan teguran terhadap vendor yang kinerjanya kurang baik.
Meet
4
5
Not Meet
Not Meet
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
61
Tabel 5.410 Assessment Maturity Level DS2 Manage Third Party Services (lanjutan) MA TA
Current Condition - Aplikasi yang digunakan adalah Service desk untuk membantu dalam pencatatan incident dan problem di internal PT BEI belum terkoneksi ke pihak ketiga atau vendor. - Untuk penyimpanan database vendor masih menggunakan MS excel.
ML 1 2
3
4
5
SE
- Keahlian yang dibutuhkan sudah tercantum pada job requirement personil terkait. - Untuk meningkatkan kemampuan karyawan, BEI melakukan training ITIL, CCNA, CDCP dan lain-lain. - Belum terdapat PIC dari Unit NTS yang mempunyai sertifikasi terkait pengelolaan pihak ketiga, misalnya IT Vendor management.
Evidence
Status
- Database Vendor / supplier dalam format excel. - Database Vendor / supplier dalam format excel.
Meet
- Print screen pada aplikasi Service desk. - Database Vendor / supplier dalam format excel. - Belum terdapat tools yang terintegrasi untuk membantu efektifitas proses.
Meet
Meet
Not Meet Not Meet Meet
1 2
- Job requirement pada Job description Divisi Operasi TI (OTI).
Meet
3
- Job requirement pada Job description Divisi Operasi TI (OTI). - Data Pelatihan tahun 2012
Meet
4
- Belum terdapat PIC yang mempunyai sertifikasi untuk pengelolaan vendor.
Not Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
62
Tabel 5.4 Assessment Maturity Level DS2 Manage Third Party Services (lanjutan) MA RA
Current Condition - Pihak yang terkait dalam pengelolaan pihak ketiga adalah Unit NTS. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
ML
2
4
5
- KPI Pengelolaan pihak ketiga sudah terdapat pada KPI Kepala Unit NTS - Pengukuran yang dilakukan terkait kinerja rekanan dalam melakukan problem solving apakah sesuai dengan SLA ataukah tidak.
- Job description Kepala Unit NTS. - Job description Staff Unit NTS. - Job description Kepala Unit NTS. - Job description Staff Unit NTS. - Job description Kepala Unit NTS. - Job description Staff Unit NTS. - KPI Kepala Unit NTS
3
4
Meet
Meet
Meet
Not Meet Meet
1 2
Status Meet
1
3
GM
Evidence
- Form evaluasi remedial maintenance - Form evaluasi remedial maintenance - Form evaluasi remedial maintenance - KPI Kepala Unit NTS
Meet
-
Meet
-
Meet
Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS2 manage third party services adalah 3.33, jika dibulatkan ke bawah menjadi 3.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
63
5.2.3
DS3 Manage Performance and Capacity Proses yang ke tiga pada domain DS adalah manage performance and
capacity. Pada proses ini mempunyai tujuan untuk mengelola performance dan kapasitas sumber daya TI, untuk melakukan hal tersebut membutuhkan adanya proses review secara periodik terhadap performance dan kapasitas sumber daya TI. Proses ini mencakup proses peramalan (forecast) kebutuhan di masa mendatang berdasarkan data historis dan persyaratan kontingensi. Hasil yang didapatkan dari proses ini adalah adanya garansi bahwa sumber daya TI dapat tersedia sesuai dengan kebutuhan bisnis. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.5. Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity MA AC
Current Condition - Pada saat ini monitoring sistem dilakukan setiap hari dan pelaporannya disampaikan secara rutin kepada user. - Pada tool monitoring telah terhubung ke sms gateway. - Sedangkan untuk pengukuran kapasitas dilakukan setiap 3 bulan dan peloporannya disampaikan kepada Kepala Divisi OTI dan Direktur TI.
ML
Evidence
Status Meet
1
2
- Checklist monitoring
Meet
3
- Checklist monitoring - Laporan Pengelolaan Kapasitas.
Meet
4
- Adanya aplikasi monitoring yang terkait yang dapat memberikan notifikasi jika terdapat sistem yang melebihi treshold
Meet
5
Not Meet
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
64
Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity (lanjutan) MA
Current Condition
ML
PPP
- Kegiatan pengukuran kapasitas dan performance asset TI dilakukan rutin setiap 3 bulan. - Pengukuran kapasitas dan performance server berdasarkan data penggunaan yang tertinggi dalam 3 bulan, meliputi memory, processor dan harddisk. - Forecast dilakukan untuk estimasi kebutuhan kapasitas untuk 1 tahun ke depan berdasarkan data historis 1 tahun ke belakang. Data historis didapatkan dari tool monitoring. - Pengukuran kapasitas pada saat ini baru dilakukan untuk me-review sistem eksisting, pada saat dilakukan implementasi sistem baru belum dilakukan pengukuran kapasitas .
1
TA
- Aplikasi yang digunakan untuk monitoring performance adalah Solarwind, Openview, Whatsup Gold. - Solarwind dan Openview sudah terkoneksi dengan exchange dam SMS gateway. Alert disampaikan ke personil in charge (PIC), Kepada Unit, Kepala Divisi OTI.
2
3
4
Evidence
Status Meet
- SOP-OTI-025-Capacity Planning - Contoh FORM-OTI025-01-Form Rekapitulasi Kapasitas. - SOP-OTI-025-Capacity Planning - Contoh FORM-OTI025-01-Form Rekapitulasi Kapasitas. - Pada saat ini belum dilakukan pengukuran kapasitas pada saat dilakukan implementasi sistem baru, enhancement ataupun update versi.
Meet
Meet
Not Meet
5
Not Meet
1
Meet
2 3
4
- Capture tool monitoring - Bukti capture email notifikasi. - Capture tool monitoring - Bukti capture email notifikasi.
Meet
- Capture tool monitoring - Bukti capture email notifikasi.
Meet
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
65
Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity (lanjutan) MA SE
RA
Current Condition
ML
- Untuk meningkatkan kemampuan karyawan, BEI melakukan training training ITIL, tool monitoring, Windows, Linux, exchange dan lainlain. - PIC yang melakukan forecasting telah mengambil mata kuliah teknik peramalan dan mempunyai sertifikasi ITIL.
1
- Pihak yang berperan dalam pengelolaan kapasitas dan performance asset TI adalah Staff Unit ITB/ITO, Staff Unit SM, Kepala Unit ITB/ITO, Kepala Unit SM dan Kepala Divisi OTI. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
Evidence
Status Meet
2
- Data Pelatihan 20112012 untuk Divisi OTI..
Meet
3
- Data Pelatihan 20112012 untuk Divisi OTI. .
Meet
4
- Data Pelatihan 20112012 untuk Divisi OTI. - Print screen transkip nilai kuliah dan sertifikat ITIL v3.
Meet
5
Not Meet
1
Meet
2
3
4
- Job description Kepala Divisi OTI. - Job description Kepala Unit SM, ITB dan ITO. - Job description Staff Unit SM, ITB dan ITO. - Job description Kepala Divisi OTI. - Job description Kepala Unit SM, ITB dan ITO. - Job description Staff Unit SM, ITB dan ITO. - Pada saat ini belum terdapat reward culture karena belum dimasukkan dalam KPI.
Meet
Meet
Not Meet
Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
66
Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity (lanjutan) MA GM
Current Condition - Pada KPI Kepala Unit dan staff belum terdapat pengukuran spesifik mengenai kapasitas.
ML
Evidence
Status Meet
1 2
- Dokumen SLA tahunan.
Meet
3
- Pada saat ini belum terdapat mekanisme pengukuran (KPI).
Not Meet
4
Not Meet
5
Not Meet
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS3 manage performance and capacity adalah 3,33, jika dibulatkan ke bawah menjadi 3. 5.2.4
DS4 Ensure Continuous Service Proses yang ke empat pada domain DS adalah ensure continuous service.
Pada proses ini mempunyai tujuan untuk memastikan adanya keberlangsungan layanan TI, untuk itu dibutuhkan adanya rencana, pemeliharaan dan pengujian IT continuity plan,penggunaan backup storage dan secara rutin melakukan simulasi dengan user bisnis. Adanya proses ini diharapkan dapat mengurangi kemungkinan dan dampak yang diakibatkan oleh adanya gangguan layanan TI khususnya pada sistem bisnis utama. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.6.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
67
Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service MA AC
Current Condition - Pada tahun 2012 BEI membentuk Unit BCM yang berada di bawah Divisi MRI. Unit BCM ini telah disahkan dan disosialisasikan. - BEI telah melakukan sosialisasi atas prosedur BCP dan DRP ke pihak terkait. Sosialisasi rutin dilakukan 2 kali setahun pada saat simulasi DRC corporate. - Untuk meningkatkan awareness dan komunikasi pada proses ini telah dilakukan simulasi DRC rutin DRC bulanan yang melibatkan user
ML
- Pada proses ini telah dilakukan uji coba setiap bulan yang menjaga system readiness yang melibatkan user pemilik sistem dan TI. - Selain itu, dilakukan juga simulasi BCP dengan skala corporate dimana pengujiannya melibatkan pihak-pihak eksternal. - Setiap divisi yang sudah termasuk pada fungsi BCP memiliki prosedur BCP untuk operasional harian di DRC. - SOP BCP dari Divisi OTI adalah Penanganan Masalah, Permintaan Layanan, Start up dan Shut down Sistem Perdagangan Saham, Manajemen User Account, Backup Data Sistem Perkantoran, Backup Data Sistem Perdagangan Saham. - pada saat ini antara prosedur incident management dengan proses aktifasi DRC belum terdapat aturan yang baku
Status Meet
1 2
- Laporan hasil pengujian DRC bulanan (internal)
Meet
3
- Bahan sosialisasi Unit BCM. - Daftar hadir sosialisasi Unit BCM - Dokumentasi simulasi DRC corporate - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Meet
- SOP BCP Divisi OTI. - Pedoman BCP. - Hasil pengujian DRC. - SOP BCP Divisi OTI. - Pedoman BCP. - Hasil pengujian DRC. - pada saat ini belum terdapat alignment antara prosedur incident management dengan proses aktifasi DRC.
Meet
4
5 PPP
Evidence
1 2
3
4
Not Meet
Not Meet Meet
Meet
Not Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
68
Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service (lanjutan) MA TA
Current Condition - Pada proses ini terdapat folder sharing ISO di dalam server storage.
ML
Evidence
Meet
1 2
- Capture tool sharing folder pada server storage
Meet
3
- Capture tool sharing folder pada server storage
Meet
4
- Belum terdapat tools yang terintegrasi untuk membantu efektifitas proses.
Not Meet
Not Meet Meet
5 SE
- Pada proses ini telah dilakukan Pelatihan BCP. - Di dalam Job description telah terdapat job specification dan job requirement untuk masing-masing jabatan.
Status
1 2
3
4
- SOP BCP Divisi OTI. - Pedoman BCP. - Hasil pengujian DRC. - SOP BCP Divisi OTI. - Pedoman BCP. - Hasil pengujian DRC. - pada saat ini belum terdapat alignment antara prosedur incident management dengan proses aktifasi DRC.
Meet
Meet
Not Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
69
Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service (lanjutan) MA RA
GM
Current Condition
ML
Evidence
Status Meet
- Koordinator BCM bertanggung jawab mengkoordinasikan kesiapan fasilitas dan personil penunjang operasional perusahaan dalam kondisi darurat serta mengkoordinasikan usaha pemulihannya. - Staff Operasional Business Continuity bertanggung jawab dalam melaksanakan kegiatan operasional seluruh fungsi Business Continuity Management (termasuk di dalamnya fungsi DRC maintenance, DRC activation,dan main site restoration) - Staff Business Continuity Planning bertanggung jawab dalam melakukan pengembangan fungsi DRC dan memastikan kesertaraan sistem di TCC dan DRC. Hal ini untuk memastikan kesiapan fasilitas penunjang operasional perusahaan dalam kondisi darurat.
1
5
Not Meet
- Pengukuran tercantum pada KPI Kepala Divisi OTI tercantum pada area improve availability and reliability of internal IT operation.
1
Meet
2
3
4
2 3 4
- Job desc Koordinator BCM. - Job desc Kepala Divisi OTI. - Job desc Kepala Unit NTS, ITB, ITO. - Job desc Koordinator BCM. - Job desc Kepala Divisi OTI. - Job desc Kepala Unit NTS, ITB, ITO. - KPI Kepala Divisi OTI. - KPI Kepala Unit BCM.
- Dokumen SLA tahunan. - Dokumen SLA tahunan. - KPI Kepala Divisi OTI. - KPI Kepala Unit BCM.
Meet
Meet
Meet
Meet Meet Meet Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS4 ensure continuous service adalah 3,33, jika dibulatkan ke bawah menjadi 3.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
-
70
5.2.5
DS5 Ensure System Security Proses yang ke lima pada domain DS adalah ensure system security. Pada
proses ini mempunyai tujuan untuk memelihara confidentiality, integrity,dan availability informasi dan menjaga asset TI. Pada proses ini mencakup pembuatan dan maintaining IT security roles, responsibilities, policies, standards, and procedures. Security management yang efektif
melindungi asset TI untuk
meminimalisir dampak terhadap bisnis karena adanya security vulnerabilities and incidents. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.7. Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security MA AC
Current Condition - BEI telah memiliki Pedoman Keamanan Informasi untuk mengatur confidentiality, integrity, dan availability informasi. - BEI telah melakukan security awareness training ISO 27001 serta ISMS Awareness Training. - OTI memberikan sosialisasi keamanan informasi tentang proteksi USB. - OTI telah melakukan sosialisasi terkait perubahan panjang password melaui broadcast email.
ML
Evidence
Status Meet
1 2
- Materi Sosialisasi ISO 27001. - Email broadcast terkait perubahan panjang password. - ISMS Awareness Training IDX.
Meet
3
- Materi Sosialisasi ISO 27001. - Email broadcast terkait perubahan panjang password. - ISMS Awareness Training IDX.
Meet
4
- Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Not Meet
5
Not Meet
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
71
Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security (lanjutan) MA
Current Condition
PPP
- BEI telah memiliki Pedoman Keamanan Informasi yang mengacu pada ISO 27001. - BEI memiliki Prosedur Keamanan Informasi yang memuat prosedur akses kontrol dan keamanan password serta mengenai incident security. - BEI telah menerapkan domain control untuk mengatur user account. - BEI juga telah melakukan penetration test secara berkala setiap tahun. - Enkripsi, firewall, security device, network segmentation, instrusion detection dan anti virus telah diterapkan. - BEI telah membentuk komite SMKI untuk menangani Information Security (disebut ISEG).
ML
Evidence
Meet
1 2
3
4
- SOP Incident management. - Hasil penetration test. - Contoh Insiden Keamanan Informasi. - SOP manajemen user account. - SOP Incident management. - Pedoman Keamanan Informasi. - SK Pembentukan SMKI. - SOP manajemen user account. - SOP Incident management. - Pedoman Keamanan Informasi. - Hasil penetration test.
- Tools yang digunakan pada proses ini adalah Tools Monitoring, IPS, IDS, Web Filtering, Blue Coat, NAC. Tools Monitoring diawasi oleh Unit Operasi secara bergantian (shift). - Anti virus telah terintegrasi dengan IDS dan antispam, menggunakan produk yang sama.
1 2
3
4
Meet
Meet
Meet
Not Meet Meet
5 TA
Status
- Capture tool monitoring. - Capture management anti virus. - Capture tool monitoring. - Capture management anti virus.
Meet
- Capture tool monitoring. - Capture management anti virus.
Meet
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
72
Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security (lanjutan) MA SE
Current Condition - Untuk meningkatkan keahlian telah dilakukan pelatihan CISSP kepada pihak-pihak yang terkait. - Menyelenggarakan pelatihan terkait ISO27001.
ML
Evidence
Meet
1 2 3 4
- Materi training CISSP - Materi training CISSP. - Belum terdapat PIC yang memiliki sertifikasi terkait security seperti certified information security manager (CISM) atau CISSP.
- SMKI bertanggung jawab dalam pengelolaan terkait keamanan informasi. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
1 2
3
4
- SK Pembentukan SMKI. - Job description Kepala Unit NTS. - Job description Staff Unit NTS. - SK Pembentukan SMKI. - Job description Kepala Unit NTS. - Job description Staff Unit NTS. - Pada saat ini belum terdapat reward culture karena belum dimasukkan dalam KPI.
Perusahaan belum memiliki KPI spesifik mengenai pengukuran pengelolaan keamanan informasi/insiden keamanan informasi.
1 2 3
Meet
Meet
Not Meet
Not Meet Meet
5 GM
Meet Meet Not Meet
Not Meet Meet
5 RA
Status
- Penyelenggaraan penetration test secara rutin. - Pada saat ini belum terdapat mekanisme pengukuran.
Meet Not Meet Not Meet Not Meet
4 5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS5 ensure system security adalah 3.17, jika dibulatkan ke bawah menjadi 3.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
73
5.2.6
DS6 Identify and Allocate Cost Proses yang ke enam pada domain DS adalah identify and allocate cost.
Kebutuhan sistem yang adil dan merata dalam mengalokasikan biaya TI untuk mendukung kegiatan bisnis memerlukan pengukuran akurat dari biaya TI dan dibutuhkan adanya kesepakatan dengan pengguna bisnis dalam mengalokasikan biaya TI yang adil. Proses ini meliputi melakukan identifikasi, mengalokasikan dan melaporkan biaya TI kepada pengguna jasa. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.8. Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost MA AC
PPP
Current Condition
ML
- Untuk meningkatkan awareness dan komunikasi mengenai anggaran TI, telah dilakukan meeting koordinasi internal (antara TI dan user) ketika meeting penyusunan RKAT (rencana kegiatan anggaran tahunan). - Adanya pemberitahuan kepada user untuk menitipkan anggaran pemeliharaan. - Laporan penggunaan anggaran TI secara rutin telah dilaporakan ke management dan divisi keuangan, tapi belum dilaporkan kepada user.
1
- Pada saat ini sudah mempunyai pedoman pengelolaan investasi untuk mengukur manfaat (terutama bagi bisnis) dari investasi yang dilakukan. - Pada saat menyusun RKAT terdapat koordinasi antara TI dengan tim bisnis. - Terkait proses pengadaan, umumnya user menitipkan anggarannya ke Divisi OTI menggunakan Form Perencanaan Pengadaan Barang/Jasa Operasional TI. - Pengembalian atas investasi (ROI) belum dilakukan secara komprehensif - BEI belum menerapkan IT Chargeback
1
Evidence
Status Meet
- Jadwal meeting RKAT. - Form titipan anggaran. - Laporan bulanan. - Jadwal meeting RKAT. - Form titipan anggaran. - Laporan bulanan. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Meet
2
- RKAT.
Meet
3
- Pedoman Pengelolaan Investasi. - RKAT.
Meet
4
- BEI belum menerapkan IT Chargeback - Pengembalian atas investasi (ROI) belum dilakukan secara komprehensif
Not Meet
2
3
4
5
Meet
Not Meet
Not Meet Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
74
Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost (lanjutan) MA TA
Current Condition - Terdapat tools untuk monitoring anggaran TI yaitu dengan menggunakan aplikasi budget realization.
ML
Evidence
Meet
1 2
- aplikasi Budget Realization.
Meet
3
- aplikasi Budget Realization.
Meet
4
- aplikasi Budget Realization.
Meet
Not Meet Meet
5 SE
- Untuk membuat anggaran proyek TI terdapat sosialisasi penyusunan anggaran yang diberikan oleh Divisi Keuangan dan dilakukan workshop mengenai pembuatan business plan. - Telah dilakukan sosialisasi mengenai formulir RKAT dan aplikasi kepada pihak-pihak yang terkait. - PIC merupakan lulusan akuntansi computer.
Status
1 2
- Daftar hadir sosialisasi business plan. - Materi sosialisasi dari Div Keuangan.
Meet
3
- Daftar hadir sosialisasi business plan. - Materi sosialisasi dari Div Keuangan. - Daftar hadir sosialisasi business plan. - Materi sosialisasi dari Div Keuangan. - Transkip nilai dan Ijazah.
Meet
4
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
75
Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost (lanjutan) MA RA
Current Condition - Budget proyek dianggarkan oleh masing-masing Divisi user. - Budget pada Divisi OTI dikelola oleh Unit SM. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
ML
Evidence
Meet
1 2
- Job description Kepala Unit SM.
Meet
3
- Job description Kepala Unit SM.
Meet
4
- Job description Kepala Unit SM. - KPI Unit SM.
Meet
Not Meet Meet
5 GM
Pengukuran dilakukan berdasarkan standar KPI, di mana sisa anggaran budget minimal 10% dan over budget dilakukan maksimal 1 tahun sekali.
Status
1 2
- KPI Kepala Divisi OTI. - KPI Kepala Unit SM.
Meet
3
- KPI Kepala Divisi OTI. - KPI Kepala Unit SM. - KPI Kepala Divisi OTI. - KPI Kepala Unit SM.
Meet
4
Meet Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS6 identify and allocate cost adalah 3,67, jika dibulatkan ke bawah menjadi 3, jika dibulatkan ke bawah menjadi 3. 5.2.7
DS7 Educate and Train Users Proses yang ke tujuh pada domain DS adalah educate and train users.
Pelatihan yang efektif untuk semua pengguna sistem TI, termasuk untuk internal TI, membutuhkan adaya identifikasi kebutuhan pelatihan dari masing-masing kelompok pengguna. Proses ini termasuk mendefinisikan dan melaksanakan strategi untuk pelatihan yang efektif dan mengukur hasilnya.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
76
Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.9. Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users MA AC
Current Condition - BEI memberikan edukasi untuk EUC (End User Computing) berupa training atau sosialisasi. - BEI melakukan evaluasi hasil training yang diberikan untuk user. - BEI memberikan sosialisasi/pelatihan terkait aplikasi baru.
ML
2
3
5 - BEI telah melakukan training dan memperoleh feedback dari user. - BEI memberikan training untuk aplikasi baru kepada user dan kepada operasional TI. - Pada SOP Change Management tertera bahwa syarat live untuk suatu aplikasi salah satunya adalah menyelenggarakan training kepada user dan untuk Divisi OTI.
- Pengenalan dasar aplikasi baru. - Pengenalan aplikasi enkripsi flashdisk (EEFF). - Materi pelatihan service desk. - Pengenalan dasar aplikasi baru. - Pengenalan aplikasi enkripsi flashdisk (EEFF). - Materi pelatihan service desk. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Meet
- Training Feedback Form User. - SOP Change Management. - Training Feedback Form User. - SOP Change Management. - Training Feedback Form User. - SOP Change Management.
Meet
1 2
3
4
Status Meet
1
4
PPP
Evidence
Meet
Not Meet
Not Meet Meet
Meet
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
77
Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users (lanjutan) MA TA
Current Condition - Untuk penggunaan tools tergantung dari aplikasi yang digunakan oleh user, di mana user menguji di area development. - Feedback form masih diisi secara manual.
ML
Evidence
Meet
1 2
- Training Feedback Form User.
Meet
3
- Training Feedback Form User.
Meet
4
- Belum terdapat tools yang terintegrasi untuk membantu efektifitas proses.
Not Meet
Not Meet Meet
5 SE
- Training atau pelatihan disesuaikan dari kebutuhan proyek dan struktur proyek. - Untuk kegiatan pengembangan trainer dari pengembang aplikasi (bukan dari internal). - Untuk training mengenai aplikasi internal dan penggunaan perangkat computer dilakukan oleh Divisi OTI.
1 2
- Job description Kepala Unit dan staff Unit SM.
Meet
3
- Job description Kepala Unit dan staff Unit SM.
Meet
4
- Belum terdapat PIC yang memiliki sertifikasi terkait pelaksanaan pelatihan seperti Certified Training Professional.
Not Meet
Not Meet Meet
5 RA
- Pihak yang bertanggung jawab adalah Divisi OTI dan PTI, tergantung yang terlibat di dalam proyek.
Status
1 2
3
4
- Job description Kepala Divis PTI dan Divisi OTI - Contoh request for proposal (RFP). - Job description Kepala Divis PTI dan Divisi OTI - Contoh request for proposal (RFP). - Pada saat ini belum terdapat reward culture karena belum dimasukkan dalam KPI.
Meet
Meet
Not Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
78
Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users (lanjutan) MA
Current Condition
GM
Pengukuran dilakukan berdasarkan standar KPI, di mana sisa anggaran budget minimal 10% dan over budget dilakukan maksimal 1 tahun sekali.
ML
Evidence
Status Meet
1 2
- Pelatihan dilakukan untuk karyawan baru
Meet
3
- Pada saat ini belum terdapat mekanisme pengukuran.
Not Meet
4
Not Meet
5
Not Meet
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS7 educate and train users adalah 3,00.
5.2.8
DS8 Manage Service desk and Incidents Proses yang ke delapan pada domain DS adalah manage service desk and
incid. Respon yang tepat waktu dan efektif terhadap permintaan dan masalah dari pengguna, membutuhkan design dan penerapan service desk yang baik serta adanya proses incident management yang jelas. Pada proses ini termasuk pendefinisian fungsi service desk untuk pendaftaran, eskalasi, membuat trend analisys dan mencari root cause serta mencari permanent solution dari suatu masalah. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.10.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
79
Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents MA AC
Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi/workshop mengenai pengelolaan service desk dan incident kepada pihak-pihak yang terkait dan kepada karyawan baru. - Telah dilakukan sosialisasi mengenai SLA incident pada forum pembahasan SLQ.
ML
- Pada saat ini sudah terdapat SOP incident management. - Insiden dan service request dapat diisi oleh semua user dengan mengisi ticket request melalui aplikasi service desk. - Di dalam service desk tersebut terdapat workflow yang menggambarkan proses persetujuan dari service request, sejak diisi oleh user hingga akhirnya menjadi solusi. - PIC yang berperan dalam memantau proses di service desk adalah Unit SM. - Terkait penanganan incident, PIC service desk akan memilih kategorisasi, eskalasi insiden, dan closing jika telah diterapkan solusinya.
Status Meet
1 2
- Materi sosialisasi Penggunaan Service desk. - Dokumen SLQ.
Meet
3
- Materi sosialisasi Penggunaan Service desk. - Dokumen SLQ.
Meet
4
- Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Not Meet
- Prosedur Permintaan Layanan. - Prosedur Incident management - Laporan Bulanan OTI. - Prosedur Permintaan Layanan. - Prosedur Incident management. - Laporan SLA Incident. - Laporan SLA Service Request. - Laporan Bulanan OTI. - Prosedur Permintaan Layanan. - Prosedur Incident management. - Laporan SLA Incident. - Laporan SLA Service Request. - Laporan Bulanan OTI.
Meet
5 PPP
Evidence
1 2
3
4
Not Meet Meet
Meet
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
80
Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents (lanjutan) MA TA
Current Condition - Tools yang digunakan adalah aplikasi service desk untuk seluruh karyawan BEI. - Pada aplikasi service desk ini, apabila service request dan incident telah diselesaikan secara otomatis tiket tersebut akan di update statusnya menjadi resolved. Di mana tiket tersebut dikembalikan ke user dan menunggu tanggapan dengan maksimal 3 hari, apabila tidak ada tanggapan maka akan berubah menjadi closed.
ML
Evidence
Meet
1 2
3
4
- Contoh di Service desk. - Contoh aplikasi Service desk. - Contoh tiket insiden. - Contoh tiket resolve. - Contoh di Service desk. - Contoh aplikasi Service desk. - Contoh tiket insiden. - Contoh tiket resolve. - Contoh di Service desk. - Contoh aplikasi Service desk. - Contoh tiket insiden. - Contoh tiket resolve.
- Dalam meningkatkan keahlian tiap personil telah dilakukan pelatihan ITIL dan pelatihan Service desk. - Di dalam Job description telah terdapat job specification dan requirement untuk masing-masing jabatan. - PIC telah mempunyai sertifikasi ITIL v3.
1
- PIC service desk adalah Unit SM. - First level support untuk incident adalah Unit operasi perkantoran (ITO) dan operasi bisnis (ITB). - Second level support untuk incident adalah Unit NTS - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
Meet
Meet
2
- Job description Unit SM, ITO dan ITB.
Meet
3
- Job description Unit SM, ITO dan ITB.
Meet
4
- Sertifikat ITIL v3. - Job description Unit SM, ITO dan ITB.
Meet
Not Meet Meet
5 RA
Meet
Not Meet Meet
5 SE
Status
1 2
- Job description Unit SM, ITO dan ITB.
Meet
3
- Job description Unit SM, ITO dan ITB.
Meet
4
- KPI Unit SM, ITO dan ITB.
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
81
Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents (lanjutan) MA
Current Condition
GM
- Pengukuran yang dilakukan dalam proses ini adalah pengukuran SLA incident dan SLA layanan service desk. - Pengukuran tercantum pada KPI Kepala Divisi OTI tercantum pada area Improve availability and reliability of internal IT operation, yaitu : 'Operational Service Index Target: 78% Mencakup pemenuhan: 1. Problem Solving 70%* (bobot 20%) 2. SLA Incident 80% (bobot 40%) 3. SLA Layanan Service desk: 80% (bobot 40%)'.
ML
Evidence
Status Meet
1 2
- KPI Unit SM, ITO dan ITB.
Meet
3
- KPI Unit SM, ITO dan ITB.
Meet
4
- KPI Unit SM, ITO dan ITB.
Meet
Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS8 manage service desk and incidents adalah 3,83, jika dibulatkan ke bawah menjadi 3. 5.2.9
DS9 Manage Configuration Proses yang ke sembilan pada domain DS adalah manage configuration.
Memastikan integritas konfigurasi hardware dan software memerlukan adanya pemeliharaan suatu repositori konfigurasi yang akurat dan lengkap. Proses ini termasuk mengumpulkan informasi konfigurasi awal, membangun baseline, verifikasi dan audit data/informasi konfigurasi serta memperbarui repositori konfigurasi yang disesuaikan dengan kebutuhan. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.11.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
82
Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration MA AC
Current Condition - Untuk melakukan awareness dan communication telah dilakukan sosialisasi dengan Divisi PTI. - Pada saat pengembangan sistem baru, dari Divisi PTI meng-update form konfigurasi dan kemudian diserahkan ke Divisi OTI.
ML
- Pada saat ini sudah terdapat prosedur terkait dengan configuration management. - Terdapat form konfigurasi yang berisi konfigurasi asset untuk sistem perkantoran dan sistem perdagangan. - Pengelola konfigurasi apabila terdapat update konfigurasi yang terkait dengan change management adalah Unit SM - Base line konfigurasi telah di susun pada tahun 2009. - Proses review dan audit konfigurasi belum dilakukan secara regular, dibutuhkan adanya tool untuk memudahkan proses review dan audit konfigurasi.
Status Meet
1 2
- Dokumentasi review konfigurasi.
Meet
3
- Dokumentasi review konfigurasi.
Meet
4
- Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Not Meet
- SOP Configuration Management. - Form Konfigurasi. - Lampiran Aturan Penamaan Konfigurasi dan Versioning. - SOP Configuration Management. - Form Konfigurasi. - Lampiran Aturan Penamaan Konfigurasi dan Versioning. - Proses review dan audit konfigurasi belum dilakukan secara regular.
Meet
5 PPP
Evidence
1 2
3
4
Not Meet Meet
Meet
Not Meet Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
83
Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration (lanjutan) MA TA
Current Condition - File yang digunakan disimpan di dalam folder sharing. - Identifikasi dan pencatatan asset masih dilakukan secara manual berdasarkan data pengadaan dan survey di lapangan. - Belum terdapat configuration management database (CMDB).
ML
Evidence
Meet
1 2
3
4
- Capture sharing folder yang menyimpan form konfigurasi. - Capture sharing folder yang menyimpan form konfigurasi.
Meet
- Belum terdapat tools yang terintegrasi untuk membantu efektifitas proses.
Not Meet
- Training yang dilakukan untuk proses ini adalah pelatihan ITIL. - PIC yang bertanggung jawab untuk untuk memelihara dokumen konfigurasi sudah mempunyai sertifikasi ITIL.
1 2
- Job description Unit ITO dan ITB.
Meet
3
- Job description Unit ITO dan ITB. - Sertifikat ITIL v3. - Job description Unit ITO dan ITB.
Meet
4
- Pihak yang bertanggung jawab dalam proses ini adalah Divisi OTI yaitu Unit SM, Unit ITB/ITO dan NTS, Divisi PTI yaitu Unit APP dan INT. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
Meet
Not Meet Meet
5 RA
Meet
Not Meet Meet
5 SE
Status
1 2
- Job description Unit ITO dan ITB.
Meet
3
- Job description Unit ITO dan ITB. - KPI Kepala Unit ITB.
Meet
4
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
84
Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration (lanjutan) MA GM
Current Condition - Sudah terdapat KPI mengenai configuration management, terkait dengan jumlah review konfigurasi untuk memastikan kebenaran isi dari form konfigurasi.
ML
Evidence
Status Meet
1 2
- KPI Kepala Unit ITB.
Meet
3
- KPI Kepala Unit ITB.
Meet
4
- KPI Kepala Unit ITB.
Meet
Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS9 manage configuration adalah 3.50, jika dibulatkan ke bawah menjadi 3. 5.2.10 DS10 Manage Problem Proses yang ke sepuluh pada domain DS adalah manage problem. Problem management yang efektif memerlukan identifikasi dan klasifikasi masalah, analisis root cause dan mencari permanent solution dari suatu masalah. Pada proses ini juga mencakup perumusan rekomendasi untuk perbaikan, pemeliharaan dokumentasi permasalahan yang terjadi dan solusi yang digunakan untuk memperbaiki masalah tersebut. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.12.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
85
Tabel 5.12 Assessment Maturity Level DS10 Manage Problem MA AC
Current Condition - Untuk melakukan awareness dan communication telah dilakukan sosialisasi mengenai proses ini antara unit ITO&ITB sebagai first level dan unit NTS sebagai 2nd level. - Terdapat laporan penanganan problem kepada kepala Divisi dan Direktur TI.
ML
- Pada saat ini sudah terdapat SOP terkait problem management. - Problem merupakan insiden yang berulang sehingga dibutuhkan sebuah solusi permanen atau incident yang kritikal yang harus dicarikan root cause dan permanent solution-nya sehingga tidak terjadi kembali. - Semua problem dicatat di sistem Service desk, dimonitor, didokumentasikan dan dikomunikasikan kepada pihak-pihak terkait. - Pada saat penanganan problem, Unit NTS akan berkoordinasi dengan vendor pemelihara, Unit operasi dan Divisi PTI (jika diperlukan). - Terdapat laporan bulanan mengenai penanganan problem, disertai dengan analisa root cause dan permanent solution.
Status Meet
1 2
- Laporan penanganan problem.
Meet
3
- Laporan penanganan problem.
Meet
4
- Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Not Meet
- Laporan penanganan problem. - SOP Penanganan Masalah. - Trouble Ticket. - Laporan penanganan problem. - SOP Penanganan Masalah. - Trouble Ticket. - Laporan penanganan problem. - SOP Penanganan Masalah. - Trouble Ticket.
Meet
5 PPP
Evidence
1 2
3
4
Not Meet Meet
Meet
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
86
Tabel 5.12 Assessment Maturity Level DS10 Manage Problem (lanjutan) MA TA
Current Condition - Problem yang terjadi dilaporkan melalui service desk, kemudian service desk akan transfer ticket problem tersebut kepada unit NTS untuk diselesaikan. - Problem sudah terintegrasi dengan proses pengajuan service request dan incident ticket.
ML
Evidence
Meet
1 2
- Contoh di Service desk. - Contoh tiket problem.
Meet
3
- Contoh di Service desk. - Contoh tiket problem.
Meet
4
- Contoh di Service desk. - Contoh tiket problem.
Meet
Not Meet Meet
5 SE
- Untuk meningkatkan keahlian personil dalam proses ini telah dilakukan pelatihan technical seperti database, sistem operasi dan network.
1 2
- Job description Unit NTS.
Meet
3
- Job description Unit NTS.
Meet
4
- Sertifikat database Informix dan linux. - Daftar Pelatihan 2012
Meet
Not Meet Meet
5 RA
- Pihak yang bertanggung jawab dalam mengelola problem adalah Unit NTS. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
Status
1 2
- Job description Unit NTS.
Meet
3
- Job description Unit NTS.
Meet
4
- Job description. Kepala Unit NTS. - KPI Unit NTS.
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
87
Tabel 5.12 Assessment Maturity Level DS10 Manage Problem (lanjutan) MA
Current Condition
GM
- Pengukuran dilakukan berdasarkan dengan KPI mengenai penanganan problem. - Pengukuran tercantum pada KPI Kepala Divisi OTI dan KPI Kepala Unit NTS yang tercantum pada area Improve availability and reliability of internal IT operation, yaitu : 'Operational Service Index Target: 78% Mencakup pemenuhan: 1. Problem Solving 70%* (bobot 20%) 2. SLA Incident 80% (bobot 40%) 3. SLA Layanan Service desk: 80% (bobot 40%)’.
ML
Evidence
Status Meet
1 2
- KPI Divisi OTI. - KPI Unit NTS.
Meet
3
- KPI Divisi OTI. - KPI Unit NTS.
Meet
4
- KPI Divisi OTI. - KPI Unit NTS.
Meet
Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS10 manage problem adalah 3,83, jika dibulatkan ke bawah menjadi 3. 5.2.11 DS11 Manage Data Proses yang ke sebelas pada domain DS adalah manage data. Manajemen data yang efektif membutuhkan adanya identifikasi kebutuhan data. Proses manajemen data juga mencakup pembuatan prosedur yang efektif untuk mengelola media backup, tata cara backup dan restore data, serta pemusnahan media backup dengan tepat. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.13.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
88
Tabel 5.13 Assessment Maturity Level DS11 Manage Data MA AC
Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi secara internal dalam proses ini. - Pasca dilakukan backup, hasilnya dilaporkan kepada user.
ML
- BEI memiliki Pedoman Tata Kelola TI yang mengatur tentang manajemen data. - Backup data dilakukan secara rutin. Backup sistem operasional bisnis dilakukan setiap sore hari (sesuai dengan jadwal). Proses backup sistem perkantoran dilakukan dengan sinkronisasi storage setiap 5 menit ke storage di DRC. - Data historis disimpan dengan masa retensi data selama 5 tahun. - Pengujian restore dilakukan pada saat pengujian internal bulanan DRC. - Laporan backup kepada user belum dilakukan secara regular, sedangkan untuk proses backupnya sendiri sudah dilakukan dengan baik.
Status Meet
1 2
- Contoh laporan backup.
Meet
3
- Contoh laporan backup. - Dokumen SLQ
Meet
4
- Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Not Meet
- SOP Backup data. - Contoh laporan backup. - Laporan Pengujian DRC. - SOP Backup data. - Contoh laporan backup. - Laporan Pengujian DRC. - Laporan backup kepada user belum dilakukan secara regular.
Meet
5 PPP
Evidence
1 2
3
4
Not Meet Meet
Meet
Not Meet Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
89
Tabel 5.13 Assessment Maturity Level DS11 Manage Data (lanjutan) MA TA
Current Condition - Tools backup yang digunakan untuk sistem perdagangan adalah brightstore sedangkan sistem perkantoran dibackup dengan memanfaatkan fitur snap mirror untuk sinkronisasi storage.
ML
Evidence
Meet
1 2
- capture tool backup.
Meet
3
- capture tool backup.
Meet
4
- capture tool backup.
Meet Not Meet Meet
5 SE
- Telah dilakukan pelatihan internal terhadap proses backup data dan pelatihan penggunaan tool backup. - Belum terdapat PIC yang memiliki sertifikasi untuk penggunaan tool backup dan backup server storage.
1 2
- Job description Unit ITO dan ITB.
Meet
3
- Job description Unit ITO dan ITB.
Meet
4
- Belum terdapat PIC yang memiliki sertifikasi terkait pelaksanaan backup sistem.
Not Meet
Not Meet Meet
5 RA
- Pihak yang bertanggung jawab adalah Level Operasi pada masingmasing Unit (ITB dan ITO). - Staff ITO dan ITB bertanggungjawab melakukan proses backup sesuai dengan prosedur yang berlaku - Kepala Unit ITO dan ITB bertanggungjawab memastikan proses backup rutin berjalan dengan baik dan sesuai rencana. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
Status
1 2
3
4
- Job description Unit ITO. - Job description Unit ITB. - Job description Unit ITO. - Job description Unit ITB. - Job description Unit ITO. - Job description Unit ITB.
Meet
Meet
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
90
Tabel 5.13 Assessment Maturity Level DS11 Manage Data (lanjutan) MA
Current Condition
GM
- Pengukuran dilakukan berdasarkan KPI dan SLA yang telah ditentukan. - Pengukuran terhadap kepuasan pengguna dengan ketersediaan data sudah dicantumkan/ditambahkan ke dalam form kepuasan pelanggan/user. - Pada KPI kepala Unit operasi sudah tertera sasaran yang ingin dicapai yaitu, proses restore paling tidak berhasil dilakukan 2x dalam satu tahun.
ML
Evidence
Status Meet
1 2
- KPI Kepala Unit ITB.
Meet
3
- KPI Kepala Unit ITB.
Meet
4
- KPI Kepala Unit ITB.
Meet Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS11 manage data adalah 3.50, jika dibulatkan ke bawah menjadi 3. 5.2.12 DS12 Manage The Physical Environment Proses yang ke dua belas pada domain DS adalah manage the physical environment. Perlindungan untuk peralatan komputer dan
personel TI
membutuhkan adanya fasilitas fisik yang dirancang dan dikelola dengan baik. Proses pengelolaan lingkungan fisik meliputi mendefinisikan persyaratan lokasi data center, memilih sarana yang tepat dan merancang proses yang efektif untuk monitoring environmental factors dan mengelola akses fisik ke data center. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.14.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
91
Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment MA AC
Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi periodik review tahunan. - Diselenggarakannya pelatihan bagi user tentang data center.
ML
- Materi Training Data Center. - sertifikat CDCP yang dimilik oleh user. - Materi Training Data Center. - sertifikat CDCP yang dimilik oleh user. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Meet
2
- Buku tamu di ruang server.
Meet
3
- SOP akses ruang server. - Form akses ruang server. - Buku tamu di ruang server. - Perijinan akses ke ruang data center pada saat ini belum dijalankan secara regular.
Meet
2
4
5 - Pada saat ini sudah terdapat SOP untuk mengatur akses ke ruang server. Bagi orang yang tidak mempunyai akses harus mengajukan permintaan akses ke kepala Unit/kepala Divisi OTI. Ketika masuk ruang data center harus didampingi PIC dari Unit terkait. - Pengelola DRC memiliki SLA 24jam x 7, dan sudah sertifikasi ISO27001. - Perijinan akses ke ruang data center pada saat ini belum dijalankan secara regular, hal ini bisa dilihat dari log buku tamu dan form akses ke data center masih belum sesuai (terdapat perbedaan data). Namun untuk pendampingan pasti dilakukan.
Status Meet
1
3
PPP
Evidence
1
4
Meet
Not Meet
Not Meet Meet
Not Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
92
Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment (lanjutan) MA TA
Current Condition - Physical security sudah diterapkan dengan menggunakan kartu, sidik jari, CCTV, smoke detector, alat pemadam, satpam yang berjaga dengan sistem shift 24 jam. - Integrasi finger print dan card system.
ML
Evidence
Meet
1 2
- Kartu Akses BEI. - Biometric.
Meet
3
- Kartu Akses BEI. - Biometric.
Meet
4
- Kartu Akses BEI. - Biometric.
Meet
Not Meet Meet
5 SE
- Sudah terdapat PIC yang mempunyai sertifikasi CDCP dan dari business user juga sudah ada yang memiliki sertifikasi CDCP.
1 2
3
4
- Job description Security, Teknisi dan Kepala Divisi Umum - Job description Security, Teknisi dan Kepala Divisi Umum
Meet
- SK Pembentukan SMKI. - Sertifikasi CDCP.
Meet
- Pihak yang bertanggung jawab dalam proses ini adalah Divisi Umum dan Divisi OTI. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
1 2
3
4
Meet
Not Meet Meet
5 RA
Status
- Job description Security, Teknisi dan Kepala Divisi Umum - Job description Security, Teknisi dan Kepala Divisi Umum
Meet
- Job description Kepala Divisi OTI. - KPI Teknisi. - KPI Security. - KPI Koordinator Security.
Meet
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
93
Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment (lanjutan) MA
Current Condition
GM
- Pengukuran tercantum pada KPI Security, Koordinator Security, Teknisi, serta Sarana dan Prasarana, yaitu sebagai berikut: 1. Melakukan pengamanan pada setiap kegiatan kontraktor atau vendor yang berada di lokasi proyek agar sesuai dengan ketentuan revitalisasi proyek dan pengerjaan sesuai jadwal. 2. Memastikan insfrastruktur penunjang sarana perdagangan yaitu listrik, UPS, AC dengan ketersediaan 100% yang mencakup target 1 down case dan 0,1% down time. 3. Assessment atas pemenuhan standar operasional optimal penunjang perdagangan pada computer room dan lingkungan kerja BEI.
ML
Evidence
Meet
1 2
3
4
Status
- SLA Review Bulanan OTI. - KPI Teknisi. - KPI Security. - KPI Koordinator Security.Divisi UMM. - SLA Review Bulanan OTI. - KPI Teknisi. - KPI Security. - KPI Koordinator Security.Divisi UMM. - KPI Teknisi. - KPI Security. - KPI Koordinator Security.Divisi UMM.
Meet
Meet
Meet
Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS12 manage the physical environment adalah 3.67, jika dibulatkan ke bawah menjadi 3. 5.2.13 DS13 Manage Operations Proses yang ke tiga belas pada domain DS adalah manage operations. Pengolahan data yang lengkap dan akurat membutuhkan manajemen yang efektif untuk prosedur pengolahan data dan pemeliharaan perangkat keras yang baik. Proses ini termasuk menentukan kebijakan operasional dan prosedur manajemen yang efektif untuk penjadwalan kegiatan, melindungi output yang sensitif, monitoring performamance dari infrastruktur dan memastikan terselenggaranya preventive maintenance. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.15.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
94
Tabel 5.15 Assessment Maturity Level DS13 Manage Operations MA AC
Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi kepada divisi user dan Unit yang terkait, training penggunaan tools setiap pengadaan perangkat/aplikasi, training penerapan SOP, instruksi kerja, dan checklist operasional. - Adanya serah terima pekerjaan antar shift.
ML
2
3
4
TA
- BEI melakukan backup data dilakukan secara rutin dan melakukan pengujian restore untuk tape backup. - BEI menerapkan job scheduling dilakukan untuk memenuhi kebutuhan bisnis seperti job scheduling untuk backup data. - Monitoring terhadap infrastruktur diterapkan sebagai usaha perlindungan atas aset TI. - Maintenance hardware dikelola untuk mengurangi kemungkinan terjadinya kegagalan dalam operasional. - BEI menerapkan perlindungan physical access dan logical access. - Tools yang digunakan dalam melakukan monitoring bisnis adalah a. Openview yang digunakan untuk mengetahui availability server. b. whatsup gold untuk mengetahui koneksi dari Anggota Bursa (AB) ke BEI dengan memasang agent di router AB, sedangkan untuk office menggunkan solarwind. - Backup dibantu dengan tool brightstore dan snap mirror.
- Form serah terima operasional. - Form serah terima shift. - Form serah terima operasional. - Form serah terima shift.
Meet
- Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.
Not Meet
- Checklist operasional - Form serah terima operasional dan serah terima shift. - Checklist operasional - Form serah terima operasional dan serah terima shift. - Checklist operasional - Form serah terima operasional dan serah terima shift.
Meet
1 2
3
4
Status Meet
1
5 PPP
Evidence
Meet
Not Meet Meet
Meet
Meet
5
Not Meet
1
Meet
2
- Capture tool monitoring. - Capture tool backup.
Meet
3
- Capture tool monitoring. - Capture tool backup.
Meet
4
- Capture tool monitoring. - Capture tool backup.
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
95
Tabel 5.15 Assessment Maturity Level DS13 Manage Operations MA SE
Current Condition - Pelatihan spesifik yang dibutuhkan adalah Database, Programming, Networking dan Operation System. - Belum terdapat sertifikasi ITIL, tool monitoring dan tool backup pada PIC di Unit operasi.
ML
Evidence
Meet
1 2
- Job description unit ITB, ITO dan NTS.
Meet
3
- Job description unit ITB, ITO dan NTS. - Belum terdapat PIC yang memiliki sertifikasi terkait pelaksanaan operasional harian (ITIL).
Meet
4
- Pihak yang bertanggung jawab terhadap proses ini adalah Divisi OTI, khususnya pada Unit ITB dan ITO. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.
1 2
3
4
Not Meet
Not Meet Meet
5 RA
Status
- Job description Unit ITO. - Job description Unit ITB. - Job description Unit ITO. - Job description Unit ITB. - Job description Unit ITO. - Job description Unit ITB.
Meet
Meet
Meet
Not Meet
5
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
96
Tabel 5.15 Assessment Maturity Level DS13 Manage Operations MA
Current Condition
GM
- Pengukuran dilakukan berdasarkan KPI service request dan SLA Office yang telah ditentukan. 'Pengukuran tercantum pada KPI Kepala Divisi OTI tercantum pada area Improve availability and reliability dan achieve high availability and realiability of internal IT operation, yaitu : 1. Operational Service Index Target: 78% Mencakup pemenuhan: - Problem Solving 70%* - SLA Incident 80% - SLA Layanan Service desk: 80% 2. Downtime trading system: 0,25% atau 6 jam (saham) 3. Trading facility recovery time Target: 2012: Max. 2 jam (diluar disaster); Max. 6 jam (DRC siap). 4. Maximum number of website down cases: 6. 5. Maximum number of IDXnet down cases: 6 6. % of datafeed downtime: 0,25% atau maksimum 6 jam.
ML
Evidence
Meet
1 2
3
4
Status
- KPI Kepala Divisi OTI. - KPI Kepala Unit ITO dan ITB. - KPI Kepala Divisi OTI. - KPI Kepala Unit ITO dan ITB.
Meet
- KPI Kepala Divisi OTI. - KPI Kepala Unit ITO dan ITB.
Meet
Meet
Not Meet
5
Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS13 manage operation adalah 3.67, jika dibulatkan ke bawah menjadi 3.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
97
5.2.14 Nilai Kemapanan untuk domain DS Berdasarkan hasil assessment di atas dapat diketahui nilai maturity level dari setiap maturity attribute pada tabel 5.16. Tabel 5.16 nilai maturity level pada domain DS Kode
Proses
Awareness and Communication
Policies, Plans and Procedures
Tools and Automation
Skills and Expertise
Responsibility and Accountability
Goal Setting and Measurement
Rata-Rata
DS1
Define and manage service levels.
3
3
4
4
4
4
3.67
DS2
Manage third-party services.
3
3
3
3
4
4
3.33
DS3
Manage performance and capacity.
4
3
4
4
3
2
3.33
DS4
Ensure continuous service.
3
3
3
3
4
4
3.33
DS5
Ensure systems security.
3
4
4
3
3
2
3.17
DS6
Identify and allocate costs.
3
3
4
4
4
4
3.67
DS7
Educate and train users.
3
4
3
3
3
2
3
DS8
Manage service desk and incidents.
3
4
4
4
4
4
3.83
DS9
Manage the configuration.
3
3
3
4
4
4
3.5
DS10
Manage problems.
3
4
4
4
4
4
3.83
DS11
Manage data.
3
3
4
3
4
4
3.5
DS12
Manage the physical environment.
3
3
4
4
4
4
3.67
DS13
Manage operations.
3
4
4
3
4
4
3.67
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
98
Nilai maturity level dari suatu proses pada domain DS didapatkan dari rata-rata maturity level dari setiap attribute. Setelah diketahui nilai maturity level dari setiap proses dapat diketahui nilai maturity level rata-rata untuk domain DS adalah 3.5, kalau dibulatkan ke bawah menjadi 3. 5.3
Rekomendasi Perbaikan Setelah melakukan assessment di atas, langkah selanjutnya adalah
membuat rekomendasi berdasarkan hasil assessment maturity level untuk setiap maturity attribute. Berikut ini akan disampaikan rekomendasi untuk peningkatan nilai maturity level untuk setiap maturity attribute yang nilainya masih di bawah 4, akan dibuatkan rekomendasi untuk mencapai nilai maturity level 4. Detil dari rekomendasi dapat dilihat pada tabel 5.17. Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute Proses
Attribute
Rekomendasi
DS1
DS1AC
Perusahaan direkomendasikan untuk mengembangkan tools yang digunakan untuk melakukan survey kepuasan pelanggan, serta untuk monitoring SLA. Tools yang dibuat bisa seperti forum menggunakan vbuletin atau LimeSurvey.
DS1PPP
Perusahaan direkomendasikan untuk melakukan penunjukan PIC IT governance pada setiap Unit di Divisi OTI sehingga pembuatan laporan SLA dapat lebih konsisten.
DS2
DS2AC
Perusahaan direkomendasikan untuk mengembangkan tools yang digunakan untuk melakukan pengelolaan atas data vendor dan monitoring kinerja vendor.
DS2PPP
Perusahaan direkomendasikan untuk melakukan update pada SOP Pemeliharaan dan Evaluasi Sistem untuk menambahkan mekanisme teguran dan menambahkan kebijakan audit vendor.
DS2TA
Perusahaan direkomendasikan untuk mengembangkan tools yang digunakan untuk melakukan pengelolaan atas data vendor dan monitoring kinerja vendor. Misalnya tools yang dapat diintegrasikan dengan sistem service desk.
DS2SE
Perusahaan direkomendasikan untuk mengikuti pelatihan Certified IT Vendor Management atau ITIL versi 3.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
99
Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute Proses
Attribute
Rekomendasi
DS3
DS3PPP
Perusahaan direkomendasikan untuk melakukan update pada SOP Capacity Management untuk menambahkan kegiatan pengukuran kapasitas pada saat implementasi sistem baru, enhancement atau update versi aplikasi.
DS3RA
Perusahaan direkomendasikan untuk menambahkan pada KPI kepala Unit dan staf tentang pengukuran capacity sehingga jika dilakukan dengan baik akan meningkatkan benefit bagi karyawan tersebut.
DS3GM
Menyusun pengukuran dalam mengelola kinerja dan kapasitas yaitu sebagai
berikut:
1. Pengukuran terhadap jumlah jam yang hilang per pengguna dalam sebulan
karena
tidak
cukupnya
perencanaan
kapasitas.
2. Pengukuran persentase terhadap target pemanfaatan yang telah terlampaui. DS4
DS4AC
Perusahaan direkomendasikan untuk mengembangkan aplikasi yang dapat digunakan untuk menyediakan informasi terkait BCM. Contoh : portal, milis.
DS4PPP
Perusahaan direkomendasikan untuk melakukan update pada SOP Incident management terkait mekanisme untuk aktivasi DRC.
DS4TA
Perusahaan direkomendasikan untuk mengembangkan aplikasi yang dapat digunakan untuk menyediakan informasi terkait BCM. Contoh : aplikasi knowledge management yang nantinya dapat diintegrasi dengan aplikasi service desk.
DS4SE
Perusahaan direkomendasikan untuk memberikan pelatihan dan sertifikasi terkait business continuity management seperti CBCP (certified business continuity profesional).
DS5
DS5AC
Perusahaan direkomendasikan untuk mengembangkan tools/aplikasi yang dapat memberikan informasi terkait keamanan informasi. Contoh: portal
DS5SE
Perusahaan direkomendasikan untuk mengikuti sertifikasi Certified Information Security Manager (CISM) bagi pihak yang terkait system security.
DS5RA
Perusahaan direkomendasikan untuk menambahkan pada KPI kepala Unit dan staf untuk memastikan information security sehingga jika dilakukan dengan baik akan meningkatkan benefit bagi karyawan tersebut.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
100
Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute (lanjutan) Proses
Attribute
Rekomendasi
DS5
DS5GM
Menyusun pengukuran dalam memastikan keamanan sistem, yaitu sebagai
berikut:
1.Jumlah insiden yang berdampak kepada reputasi Perusahaan 2. Jumlah sistem yang tidak memenuhi persyaratan keamanan informasi 3. Jumlah pelanggaran dalam segregation of duties. DS6
DS6AC
Perusahaan direkomendasikan untuk mengembangkan tools yang dapat digunakan untuk menginformasikan biaya yang telah digunakan ke pihak-pihak terkait.
DS6PPP
-
Perusahaan
direkomendasikan
untuk
melakukan
perhitungan
pengembalian atas investasi (ROI) dalam setiap pengembangan. Selain itu dibutuhkan juga metode pengukuran yang komprehensif seperti information economics. - Perusahaan direkomendasikan untuk menerapkan IT chargeback. Membuat prosedur untuk pemberlakuan chargeback. DS7
DS7AC
Perusahaan
direkomendasikan
communication
yang
dapat
untuk
mengembangkan
digunakan
untuk
tools
melakukan
training/sosialisasi aplikasi/teknologi yang baru (e-learning). DS7TA
Perusahaan
direkomendasikan
communication
yang
dapat
untuk
mengembangkan
digunakan
untuk
tools
melakukan
training/sosialisasi aplikasi/teknologi yang baru misalnya e-learning atau knowledge management. DS7SE
Perusahaan direkomendasikan untuk mengikuti Certified Training Professional (CTP).
DS7RA
Perusahaan direkomendasikan untuk menambahkan pada KPI kepala Unit dan staf untuk memastikan kebutuhan training bagi user sehingga jika dilakukan dengan baik akan meningkatkan benefit bagi karyawan tersebut.
DS7GM
Menyusun pengukuran dalam memastikan training untuk user, yaitu sebagai berikut: 1. Frekuensi training kepada user 2. Time lag antara dibutuhkannya suatu pelatihan dengan pelaksanaan pelatihan.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
101
Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute (lanjutan) Proses
Attribute
Rekomendasi
DS8
DS8AC
Perusahaan direkomendasikan untuk mengembangkan aplikasi yang dapat memberikan informasi status proses penanganan insiden ke pihakpihak terkait dan bisa memungkinkan user untuk memberikan feedback atas pelayanan yang telah diberikan.
DS9
DS9AC
Perusahaan direkomendasikan untuk menggunakan tools otomatis dalam mengelola dan memonitor konfigurasi.
DS9PPP
Perusahaan direkomendasikan untuk melakukan penunjukan PIC IT governance pada setiap Unit di Divisi OTI dan mengembangkan tool untuk memudahkan dalam melakukan review konfigurasi.
DS9TA
Perusahaan direkomendasikan untuk menggunakan tools otomatis dalam mengelola dan memonitor konfigurasi (CMDB) yang terintegrasi dengan aplikasi service desk.
DS10
DS10AC
Perusahaan direkomendasikan untuk mengembangkan aplikasi yang dapat memberikan informasi status proses penanganan problem ke pihak-pihak terkait dan bisa memungkinkan user untuk memberikan feedback atas pelayanan yang telah diberikan.
DS11
DS11AC
Perusahaan direkomendasikan untuk menggunakan tools otomatis dalam mengelola media library, dan backup/restoration data.
DS11PPP
Perusahaan
direkomendasikan
untuk
melakukan
update
pada
mekanisme pelaporan kepada user dengan meng-update form laporan hasil backup, form dilaporkan kepada Kepala Divisi OTI dan Direktur TI, kemudian hasilnya disampaikan kepada user. DS7SE
Perusahaan direkomendasikan untuk mengikuti training sertifikasi backup data, misalnya sertifikasi untuk fitur snap mirror dari storage netapp.
DS12
DS12AC
Perusahaan direkomendasikan untuk mengembangkan tools monitoring yang terintegrasi sms gateway dan sistem exchange (Alert System).
DS12PPP
Perusahaan direkomendasikan untuk melakukan penunjukan staff IT governance untuk meningkatkan kepatuhan dalam permintaan ijin akses ke ruang server.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
102
Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute (lanjutan) Proses
Attribute
Rekomendasi
DS13
DS13AC
Perusahaan direkomendasikan untuk menggunakan tools otomatis untuk melakukan operasional TI, dimana operasional akhirnya dijalankan sesuai task yang telah ditetapkan.
DS13SE
- Perusahaan direkomendasikan untuk menyusun training plan bagi masing-masing fungsi sesuai skill yang harus dimiliki. Misalnya ITIL untuk Unit operasi, yang saat ini belum dimiliki oleh perusahaan.
Berdasarkan hasil rekomendasi yang telah disusun di atas, secara garis besar rekomendasi yang diusulkan dapat dikategorisikan sebagai berikut: Tabel 5.18 Rekapan Rekomendasi
Rekomendasi
Maturity Attribute Awareness
and Melakukan penambahan ataupun pengembangan tools
Communication
untuk meningkatkan awareness and communication dengan pihak-pihak terkait. ((DS1AC, DS2AC, DS4AC, DS5AC, DS6AC, DS7AC, DS8AC, DS9AC, DS10AC, DS11AC, DS12AC, DS13AC)
Policies, Plans and 1.
Melakukan update dokumen SOP. (DS2PPP, DS3PPP,
Procedures
DS4PPP, DS6PPP, DS11PPP).
2.
Melakukan penunjukan staff yang bertanggung jawab pada pelaksanaan IT Governance pada masing-masing unit kerja. (DS1PPP, DS9PPP, DS12PPP)
3.
Melakukan otomasi proses SOP yang masih manual dengan melakukan pengembangan tools. (DS9PPP)
Tools
and Melakukan pengembangan tools untuk meningkatkan
Automation
kinerja operasional. (DS2TA, DS4TA, DS7TA, DS9TA)
Skills and Expertise
Menyelenggarakan pelatihan yang bersertifikasi untuk meningkatkan kemampuan personil TI, khususnya di Divisi Operasi TI. (DS2SE, DS4SE, DS5SE, DS7SE, DS11SE, DS13SE)
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
103
Tabel 5.18 Rekapan Rekomendasi (lanjuta)
Rekomendasi
Maturity Attribute
Responsibility and Menambahkan KPI untuk proses-proses yang saat ini masih Accountability
belum ditentukan measurement-nya serta menunjuk PIC yang bertanggung jawab untuk KPI tersebut. (DS3RA, DS5RA, DS7RA)
Goal Setting and Menambahkan KPI untuk proses-proses yang saat ini masih Measurement
belum ditentukan measurement-nya serta menunjuk PIC yang bertanggung jawab untuk KPI tersebut. (DS3GM, DS5GM, DS7GM)
5.4
Risk Assessment untuk Menentukan Prioritas Rekomendasi Setelah diketehui daftar rekomendasi yang harus dilakukan, langkah
selanjutnya adalah menentukan prioritas dari setiap rekomendasi dengan menggunakan bantuan metode risk management. Dalam hal ini akan dilakukan risk assessment berdasarkan identifikasi risiko yang mungkin timbul karena belum diterapkannya rekomendasi perbaikan yang telah disampaikan di atas. Identifikasi risiko tersebut juga disesuaikan dengan risk driver (ITGI, 2007) yang terdapat pada control practice Cobit. Hasil risk assessment ini diharapkan dapat menjadi salah satu pertimbangan bagi management dalam menentukan rekomendasi yang akan diterapkan terlebih dahulu. Sebelum melakukan risk assessment, terlebih dahulu akan disampaikan mengenai klasifikasi dampak dari sisi financial dan likelihood yang akan digunakan dalam risk assessment. Adapun klasifikasi dampak dan likelihood dibagi menjadi 5 level, detilnya dapat dilihat pada tabel 5.19 dan tabel 5.20. Sangat Tinggi Berdampak pada kerugian financial lebih besar dari Rp. 250.000.000,-
Tabel 5.19. Klasifikasi Dampak Manajemen Risiko BEI Tinggi Sedang Rendah Berdampak pada kerugian financial lebih besar dari Rp. 50.000.000,sampai dengan Rp. 250.000.000,-
Berdampak pada kerugian financial lebih besar dari Rp. 10.000.000,sampai dengan Rp. 50.000.000,-
Berdampak pada kerugian financial lebih besar dari Rp. 5.000.000,sampai dengan Rp. 10.000.000,-
Sangat Rendah Berdampak pada kerugian financial kurang dari Rp. 5.000.000,-
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
104
Tabel 5.20. Klasifikasi likelihood Manajemen Risiko BEI Sangat Tinggi Tinggi Sedang Rendah Lebih dari 6 kali dalam 1 tahun
Lebih dari 4 kali sampai dengan 6 kali dalam 1 tahun
Lebih dari 2 kali sampai dengan 4 kali dalam 1 tahun
Lebih dari 1 kali sampai dengan 2 kali dalam 1 tahun
Sangat Rendah Terjadi maksimal 1 kali dalam 1 tahun
Langkah selanjutnya adalah menentukan risk matrix berdasarkan nilai likelihood dan dampak di atas. Risk matrix yang telah disusun dapat dilihat pada tabel 5.21. Tabel 5.21 Risk Matrix Impact
Sangat Rendah
Rendah
Sedang
Tinggi
Sangat Tinggi
Sangat Rendah
Rendah
Rendah
Rendah
Sedang
Kritis
Rendah
Rendah
Rendah
Sedang
Tinggi
Kritis
Sedang
Rendah
Rendah
Sedang
Tinggi
Kritis
Tinggi
Rendah
Sedang
Tinggi
Kritis
Kritis
Tinggi
Tinggi
Tinggi
Kritis
Kritis
Likelihood
Sangat Tinggi
Klasifikasi likelihood dan dampak serta penentuan risk matrix yang digunakan dalam penelitian ini mengacu kepada pedoman manajemen risiko yang diterapkan di PT BEI. Setelah ditentukan mengenai
klasifikasi likelihood, dampak dan risk
matrix maka selanjutnya akan mulai dilakukan risk assessment yang detail-nya dapat dilihat pada tabel 5.22. Kode
Identifikasi Risiko
Tabel 5.22 Risk Assessment Dampak Likelihood
Risk
Mitigasi
exposure RA1
Adanya perbedaan interpretasi dan
miss
mengenai
Rendah
Sedang
Rendah
DS1AC
Rendah
Rendah
Rendah
DS1PPP
komunikasi service
yang
disediakan oleh TI. RA2
Kekecewaan pengguna karena kurangnya informasi, terlepas dari kualitas layanan
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
105
Tabel 5.22 Risk Assessment (lanjutan) Identifikasi Risiko Dampak Likelihood
Kode
Risk
Mitigasi
exposure RA3
Vendor tidak responsif atau
Sedang
Sedang
Sedang
DS2AC
Tinggi
Rendah
Sedang
DS2PPP,
berkomitmen pada hubungan kerjasama. RA4
RA5
Adanya kinerja yang kurang baik dan pelanggaran yang
DS2TA,
dilakukan oleh pihak ketiga
DS2SE
Terjadinya
downtime
karena
Tinggi
Rendah
Sedang
DS3PPP
Sedang
Sedang
Sedang
DS3RA
Sedang
Sedang
Sedang
DS3GM
Tinggi
Rendah
Sedang
DS4AC,
peningkatan kapasitas pada saat implementasi sistem baru. RA6
Kurangnya karena
motivasi
kerja
belum
adanya
benefit
peningkatan
ketika
sudah melakukan pekerjaannya dengan baik RA7
Kemungkinan tidak tercapainya target
dari
karena
suatu
pekerjaan
target
belum
dirumuskan secara jelas. RA8
Kurangnya
pengetahuan
mengenai proses BCP dan tidak
DS4TA,
mengetahui apa yang harus
DS4SE
dilakukan saat terjadi disaster. RA9
Adanya keterlambatan aktivasi
Sangat
Sangat
DRC
suatu
Tinggi
rendah
Adanya pelanggaran keamanan
Sedang Tinggi
ketika
terjadi
Tinggi
DS4PPP
Sedang
Sedang
DS5AC
Rendah
Sedang
DS5SE
insiden/problem. RA10
informasi oleh pihak internal RA11
Adanya kesalahan konfigurasi perangkat
security
kesalahan
dalam
ataupun pemilihan
perangkat security
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
106
Tabel 5.22 Risk Assessment (lanjutan) Identifikasi Risiko Dampak Likelihood
Kode
Risk
Mitigasi
exposure RA12
Kurangnya
motivasi
menjalankan
untuk
Sedang
Sedang
Sedang
DS5RA
Sedang
Sedang
Sedang
DS5GM
Tinggi
Rendah
Sedang
DS6AC,
kebijakan
keamanan informasi RA13
Kemungkinan tidak tercapainya target
dari
karena
suatu
pekerjaan
target
belum
dirumuskan secara jelas. RA14
Keputusan
investasi
berdasarkan
informasi
biaya
DS6PPP
tidak valid. RA15
Penggunaan diukur
layanan
kurang
gagal
untuk
dan
mencerminkan
Sedang
Rendah
Sedang
DS6PPP
Sedang
Sedang
Sedang
DS7AC,
penggunaan
bisnis yang sebenarnya. RA16
Adanya kesalahan user dalam menggunakan atau
sistem
perangkat TI
TI
DS7TA,
karena
DS7SE,
kurangnya pelatihan.
DS7RA, DS7GM
RA17
Kurangnya
perbaikan
Rendah
Sedang
Rendah
DS8AC
Rendah
Sedang
Rendah
DS9AC,
pelayanan penanganan incident karena kurangnya feedback dari user. RA18
Adanya
kesalahan
dalam
pencatatan konfigurasi asset TI
DS9PPP,
atau lupa untuk melakukan
DS9TA
update pencatatan konfigurasi. RA19
Waktu
penanganan
suatu
Sedang
Sedang
Sedang
DS10AC
Rendah
Sedang
Rendah
DS11AC,
problem yang terlalu lama. RA20
Terdapat
kesalahan
penyimpanan dan
media
kegagalan
backup
DS11PPP
dalam
melakukan restore.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
107
Kode
Tabel 5.22 Risk Assessment (lanjutan) Identifikasi Risiko Dampak Likelihood
Risk
Mitigasi
exposure RA21
Kegagalan dalam melakukan
Tinggi
Rendah
Sedang
DS11SE
Rendah
Rendah
Rendah
DS12AC,
backup data ataupun backup sistem. RA22
Adanya
pihak
yang
tidak
mempunyai authorisasi masuk
DS12PPP
ke ruang server. RA23
Ketidakmampuan untuk cepat menangani operasional,
Sedang
Rendah
Sedang
masalah staf
baru
DS13AC, DS13SE
dan
perubahan operasional.
Risk assessment tersebut dilakukan penulis dengan tim internal Divisi Operasi TI, untuk menentukan nilai impact dan likehood dari setiap risiko yang diidentifikasi di atas. Risiko yang mempunyai risk exposure yang tinggi akan lebih diprioritaskan untuk menerapkan control yang dapat digunakan untuk mitigasi risiko tersebut. 5.5
Validasi Rekomendasi Langkah selanjutnya yang dilakukan adalah melakukan validasi dan
konfirmasi hasil rekomendasi dengan internal Divisi Operasi TI. Hal ini dilakukan dengan metode focus group discussion (FGD). Validasi rekomendasi yang disampaikan disusun berdasarkan maturity attribute, detilnya dapat dilihat pada tabel 5.23.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
108
Tabel 5.23 Validasi Hasil Rekomendasi MA
Rekomendasi
Prioritas
Tanggapan
Risiko AC
Memberikan
usulan
melakukan
untuk
Rendah (RA1,
Menyetujui
rekomendasi
atau
RA17, RA18,
selanjutnya
akan
RA20, RA22)
optimalisasi
penambahan
pengembangan
tools
meningkatkan
awareness
untuk and
communication. (DS1AC, DS2AC, DS4AC,
DS5AC,
DS6AC,
DS7AC,
DS8AC,
DS9AC,
DS10AC,
DS11AC,
DS12AC,
Sedang (RA3, RA8,
RA10,
RA14, RA16, RA19, RA23)
resource (HRIS)
dan
melakukan
aplikasi
human
information
system
dengan
menambahkan
forum IT governance pada aplikasi tersebut. Target Agustus 2013.
DS13AC) PPP
1. Melakukan update dokumen
Sedang (RA4)
akan dikenakan bagi vendor yang
SOP, yang meliputi: a. SOP
PPP
1. Mengenai mekanisme teguran
Pemeliharaan
dan
kinerjanya kurang baik. Target
Evaluasi Sistem, dengan
Januari 2013.
menambahkan mekanisme
2. Menangai kebijakan audit hanya
teguran dan kebijakan audit
dilakukan bagi vendor core sistem.
vendor. (DS2PPP)
Target Januari 2013. Capacity
b. SOP Management,
dengan
menambahkan
kegiatan
Sedang (RA5)
Menyetujui usulan penambahan pengukuran kapasitas pada saat adanya
enhancement
atau
pengukuran kapasitas pada
implementasi sistem baru. Target
saat
Januari 2013.
dilakukan
implementasi sistem baru ataupun
pengembangan
sistem.
Hal
dengan
ITIL
ini
sesuai
versi
3.
(DS3PPP) PPP
c. SOP Incident Management, dengan
Tinggi (RA9)
Menyetujui usulan penambahan
menambahkan
mekanisme aktivasi DRC pada
mekanisme aktivasi DRC.
SOP incident management, untuk
(DS4PPP)
melakukan hal tersebut diperlukan koordinasi
dengan
unit
BCM.
Target Desember 2012.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
109
Tabel 5.23 Validasi Hasil Rekomendasi (lanjutan) MA
Rekomendasi
Prioritas
Tanggapan
Risiko PPP
d. Pembuatan
prosedur
Chargeback,
IT
dengan
Sedang (RA14
1.
Menyetujui
dan RA15)
penerapan
pembuatan prosedur baru dan
namun
metode
harus
untuk
mengukur
suatu investasi. (DS6PPP)
usulan
chargeback,
IT untuk
untuk
penerapannya
berkoordinasi
dengan
direktorat yang lain dan Divisi keuangan. Target Juli 2013. 2.
Menyetujui
perhitungan
investasi dan pengukuran ROI, dimulai pada saat pengajuan proyek untuk tahun 2013. Target Maret 2013. PPP
e. Melakukan
update
Rendah
Menyetujui usulan untuk update
mekanisme
pelaporan
(RA20)
mekanisme
backup. (DS11PPP)
penyempaian
laporan backup. Target Januari 2013.
PPP
staff
Rendah (RA2,
Menyetujui usulan untuk
yang bertanggung jawab pada
RA18, RA222)
melakukan penunjukan staff IT
2. Melakukan
penunjukan
pelaksanaan IT Governance pada
governance pada setiap Unit.
masing-masing
Unit
kerja,
a. Unit SM: Henny Susanti
terutama
proses-proses
b. Unit ITB: Adita Qintara
untuk
berikut ini:
c. Unit ITO: Anindita Saktiaji
a. Pelaporan
SLA
bulanan.
(DS1PPP) b. Review
konfigurasi
d. Unit NTS: Elsierra Putri Yosita
secara
rutin. (DS9PPP) c. Perijinan untuk masuk ke ruang server. (DS12PPP)
Pemilihan nama-nama di atas didasarkan kepada: 1. Pengetahuan IT governance 2. Pengamatan kondisi seharihari dalam menjalankan tata kelola. 3. Merupakan staff baru (kurang dari 1 tahun) sehingga lebih aware akan tata kelola Target Januari 2013.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
110
Tabel 5.23 Validasi Hasil Rekomendasi (lanjutan) MA
Rekomendasi
Prioritas
Tanggapan
Risiko PPP
3. Melakukan otomasi proses SOP yang
manual
dengan
Menyetujui
usulan
untuk
(RA18)
melakukan
pengadaan
tools
melakukan pengembangan tool,
CMDB yang akan diintegrasikan
yaitu:
dengan sistem Service desk.
a.
TA
masih
Rendah
Tool
membantu
Pada saat ini sebenarnya sudah
proses review konfiigurasi.
dalam
(DS9PPP)
Target April 2013.
Melakukan untuk
untuk
pengembangan
meningkatkan
tools
Sedang (RA4)
kinerja
pengembangan.
Menyetujui usulan ini, mungkin bisa dilakukan dengan membuka akses aplikasi service desk ke
operasional, yaitu: a.
tahap
Tool untuk memudahkan dalam
pihak ketiga (vendor). Untuk
melakukan manage third party
melakukan
service. (DS2TA)
dilakukan kajian keamanannya.
hal
ini
perlu
Target pertengahan tahun karena menunggu risikonya
hasil
kajian
juga
tidak
dan
terlalu
tinggi. Target Maret 2013. TA
b.
Implementasi tool Knowledge
Sedang (RA8
Menyetujui
usulan
untuk
Management untuk sosialisasi
dan RA16)
melakukan
pengadaan
tools
penggunaan DRC dan untuk
knowledge management, akan
memudahkan dalam melakukan
tetapi
pelatihan bagi user. (DS4TA
dilakukan
dan DS7TA)
terkait
pengadaan pada
bisa
tahun
dengan
anggaran
baru
2014
penyusunan
dan
dokumen
IT
Master Plan. Target tahun 2014. TA
c.
Tool untuk membantu proses
Rendah
Menyetujui
usulan
untuk
review konfiigurasi. (DS9TA)
(RA18)
melakukan
pengadaan
tools
CMDB yang akan diintegrasikan dengan sistem Service desk. Pada saat ini sebenarnya sudah dalam
tahap
pengembangan.
Target April 2013.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
111
Tabel 5.23 Validasi Hasil Rekomendasi (lanjutan) MA
Rekomendasi
Prioritas
Tanggapan
Risiko SE
Menyelenggarakan pelatihan yang
Sedang (R4)
Menyetujui
dilaksanakannya
bersertifikasi untuk meningkatkan
pelatihan, hanya saja terdapat
kemampuan personil TI, khususnya
batasan dalam 1 tahun maksimal
di Divisi Operasi TI. Daftar pelatihan
20% dari jumlah karyawan dari
yang dibutuhkan yaitu:
Divisi yang dapat mengambil
a.
IT vendor management, untuk
pelatihan
pengelolaan vendor. (DS2SE)
orang).
bersertifikasi
(4
vendor
Pelatihan
management untuk unit NTS. Target Maret 2013 SE
b. Certified
business
continuity
Sedang (R8)
Sehubungan
dengan
professional, untuk perencanaan
knowledge
business
diimplementasi
continuity
planning.
(DS4SE)
aplikasi
management tahun
baru 2014,
maka untuk pelatihan ini juga ditunda
sampai
tahun
2014
(proses ini tidak bisa mencapai nilai
4
pada
tahun
2013).
Pelatihan CBCP untuk unit ITB. Target Februari 2014. SE
c.
Certified Information Security Manager,
untuk
Sedang (R11)
pengelolaan
Pelatihan CISM untuk unit NTS. Target Februari 2013.
information security. (DS5SE) SE
d. Certified Training Professional, untuk
pelaksanaan
kepada user. (DS7SE)
training
Sedang (R16)
Pelatihan CTP untuk unit SM. Sehubungan knowledge
dengan
aplikasi
management
diimplementasi
tahun
baru 2014,
maka untuk pelatihan ini juga ditunda
sampai
tahun
2014
(proses ini tidak bisa mencapai nilai 4 pada tahun 2013). Target Maret 2014
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
112
Tabel 5.23 Validasi Hasil Rekomendasi (lanjutan) MA
Rekomendasi
Prioritas
Tanggapan
Risiko SE
e.
NetApp Certified Backup and Recovery, backup
untuk dan
Sedang (R21)
pengelolaan
restore
Pelatihan tool backup untuk unit ITO. Target Maret 2013.
data.
(DS11SE) SE
f.
ITIL versi 3, untuk pengelolaan
Sedang (R23)
operasional. (DS13SE) RA
Pelatihan ITIL untuk unit ITB. Target Februari 2013.
Menambahkan KPI untuk proses-
Sedang (RA6,
Menyetujui
penambahan
KPI
proses yang saat ini masih belum
RA12, RA16)
yang akan mulai dimasukkan
ditentukan measurement-nya serta
untuk KPI pada tahun 2013.
menunjuk PIC yang bertanggung
Target Januari 2013.
jawab untuk KPI tersebut. Terdapat beberapa
proses
yang
belum
mempunyai KPI, yaitu: a.
Pengelolaan kapasitas. (DS3RA)
b. Pengelolaan
keamanan
informasi. (DS5RA) c.
Pemberian
pelatihan
kepada
user. (DS7RA) GSM
Menambahkan KPI untuk proses-
Sedang (RA7,
Menyetujui
penambahan
KPI
proses yang saat ini masih belum
RA13, RA16)
yang akan mulai dimasukkan
ditentukan measurement-nya serta
untuk KPI pada tahun 2013.
menunjuk PIC yang bertanggung
Target Januari 2013.
jawab untuk KPI tersebut. Mengenai KPI yang akan ditambahkan sama dengan rekomendasi pada attribute responsibility
and
accountability.
(DS3GM, DS5GM, DS7GM)
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
113
5.6
Pembuatan Program dengan Bantuan ITIL Setelah rekomendasi perbaikan dilakukan validasi, selanjutnya adalah
melakukan program yang dapat dilakukan dalam 2 bulan, yaitu: 1.
Melakukan update SOP dan melakukan sosialisasi SOP yang telah diperbaharui. Dalam melakukan update SOP akan memperhatikan panduan yang terdapat pada ITIL. a. SOP Pemeliharaan dan Evaluasi Sistem (Lampiran 2)
Melakukan penambahan kebijakan pemberian teguran kepada vendor yang kinerjanya kurang baik. Hal ini mengacu pada proses supplier management yang terdapat di ITIL. Tabel 5.24 Supplier Management
Sub Proses
Rencana Perbaikan
Providing the Supplier Management Framework
Tidak ada
Evaluation of new Suppliers and Contracts Establishing new Suppliers and Contracts Processing of Standard Orders Supplier and Contract Review
Tidak ada Tidak ada Tidak ada a.
Diperlukan adanya evaluasi rutin dan
pemberian
teguran
jika
kinerjanya tidak sesuai kesepakatan yang terdapat di dalam kontrak b.
Dibutuhkan
adanya
penambahan
klausula mengenai audit vendor secara
rutin
untuk
memastikan
kualitas layanan Contract Renewal or Termination
Tidak ada
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
114
b. SOP Capacity Management (Lampiran 3)
Melakukan penambahan kebijakan pelaksanaan pengukuran kapasitas pada saat dilakukan implementasi sistem baru atau enhancement sistem eksisting. Hal ini mengacu pada proses capacity management yang terdapat di ITIL. Tabel 5.25 Capacity Management
Sub Proses
Rencana Perbaikan
Business Capacity Management
Tidak ada
Service Capacity Management
Dibutuhkan kapasitas
adanya pada
saat
pengukuran dilakukannya
implementasi sistem baru untuk selalu menjaga ketersediaan dan performance sistem Component Capacity Tidak ada Management Capacity Management Tidak ada Reporting
c. SOP Incident Management (Lampiran 4 & 5)
Melakukan penambahan kebijakan mengenai batasan waktu untuk aktivasi DRC ketika terjadi gangguan pada severity 1. Hal ini mengacu pada proses incident management yang terdapat di ITIL.
Membuat tingkatan saverity dan pembangian waktu untuk problem solving dari suatu gangguan. Tabel 5.26 Incident Management
Sub Proses
Rencana Perbaikan
Incident Management Support
Tidak ada
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
115
Tabel 5.26 Incident Management (lanjutan)
Sub Proses
Rencana Perbaikan
Incident Logging and Categorization
Pada saat melakukan kategorisasi, harus dilihat urgency dari incident tersebut, hal ini terkait system readiness yang harus dijaga untuk mendukung sistem perdagangan.
Immediate Incident Resolution by 1st Level Support Incident Resolution by 2nd Level Support Handling of Major Incidents
Tidak ada Tidak ada Dibutuhkan
adanya
batasan
waktu
dalam mencari solusi dan ketentuan mengenai aktivasi DRC sesuai dengan kebutuhan bisnis.
Incident Monitoring and Escalation Incident Closure and Evaluation Pro-Active User Information Incident Management Reporting
Tidak ada Tidak ada Tidak ada Tidak ada
d. SOP Backup Rutin (Lampiran 6 & 7)
Melakukan penambahan kebijakan mengenai pelaporan hasil backup akan dikirimkan kepada seluruh Kepala Divisi user setelah mendapatkan persetujuan dari Kepala Divisi OTI.
2.
Melakukan update form pelaporan hasil backup.
Melakukan update job description untuk staff yang telah ditunjuk menjadi staff IT governance pada masing-masing Unit, yaitu: a. Ibu Henny Susanti: Memastikan penerepan prosedur di unit SM dapat berjalan dengan baik dan melaporkan hasilnya secara rutin kepada Kepala Unit SM.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
116
b. Bapak Adita Qintara: Memastikan penerepan prosedur di unit ITB dapat berjalan dengan baik dan melaporkan hasilnya secara rutin kepada Kepala Unit ITB. c. Bapak Anindita Saktiaji: Memastikan penerepan prosedur di unit ITO dapat berjalan dengan baik dan melaporkan hasilnya secara rutin kepada Kepala Unit ITO. d. Ibu Elsierra Putri Yosita: Memastikan penerepan prosedur di unit NTS dapat berjalan dengan baik dan melaporkan hasilnya secara rutin kepada Kepala Unit NTS. 3.
Melakukan penambahan KPI untuk tahun 2013. a. KPI untuk pengukuran kapasitas ditambahkan pada KPI Unit ITO dan ITB, yaitu target kapasitas dari suatu sistem tidak boleh melebihi 80% dari total kapasitas sistem. b. KPI untuk pengkuran keamanan informasi ditambahkan pada KPI unit NTS, yaitu target tidak terdapat temuan major pada saat dilakukan pengujian kemanan. c. KPI untuk pengukuran training kepada user ditambahkan pada KPI unit SM, yaitu target dalam 1 tahun minimal dilakukan pelatihan sebanyak 2 kali.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
6
BAB VI
KESIMPULAN DAN SARAN
6.1
Kesimpulan Kesimpulan yang dapat diambil dari penelitian ini adalah sebagai berikut: 1.
Tingkat kemapanan (maturity level) tata kelola TI untuk domain DS pada PT BEI menurut cobit 4.1 adalah 3.5
2.
Mengidentifikasi prosedur yang perlu disempurnakan mengacu pada tingkat kemapanan Cobit dan ITIL versi 3. a. SOP Pemeliharaan dan Evaluasi Sistem, dengan menambahkan mekanisme teguran dan kebijakan audit vendor. b. SOP Capacity Management, dengan menambahkan kegiatan pengukuran kapasitas pada saat dilakukan implementasi sistem baru ataupun pengembangan sistem. c. SOP Incident Management, dengan menambahkan mekanisme aktivasi DRC. d. Pembuatan prosedur IT Chargeback, dengan pembuatan prosedur baru dan metode untuk mengukur suatu investasi. e. Update pada form laporan backup, dengan melakukan perubahan form laporan hasil backup.
3.
Rekomendasi untuk peningkatan nilai kemapanan pada domain DS antara lain: Tabel 6.1 Usulan Rekomendasi
Rekomendasi
Maturity Attribute Awareness
and Melakukan
Communication
pengembangan
penambahan tools
untuk
ataupun meningkatkan
awareness and communication dengan pihakpihak terkait
117
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
118
Tabel 6.1 Usulan Rekomendasi (lanjutan)
Rekomendasi
Maturity Attribute Policies,
Plans 1.
and Procedures
2.
Melakukan update dokumen SOP Melakukan
penunjukan
staff
yang
bertanggung jawab pada pelaksanaan IT Governance pada masing-masing unit kerja 3.
Melakukan otomasi proses SOP yang masih
manual
dengan
melakukan
pengembangan tools. Tools Automation Skills Expertise
and Melakukan
pengembangan
tools
untuk
meningkatkan kinerja operasional and Menyelenggarakan pelatihan yang bersertifikasi untuk meningkatkan kemampuan personil TI, khususnya di Divisi Operasi TI.
Responsibility and Menambahkan KPI untuk proses-proses yang Accountability
saat ini masih belum ditentukan measurementnya serta menunjuk PIC yang bertanggung jawab untuk KPI tersebut.
Goal Setting and Menambahkan KPI untuk proses-proses yang Measurement
saat ini masih belum ditentukan measurementnya serta menunjuk PIC yang bertanggung jawab untuk KPI tersebut.
4.
Program yang dibuat dalam 2 bulan antara lain: a. Melakukan update SOP 1. SOP Pemeliharaan dan Evaluasi Sistem 2. SOP Capacity Management 3. SOP Incident Management 4. SOP Backup Rutin
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
119
b. Melakukan update job description untuk staff yang telah ditunjuk menjadi staff IT governance pada masing-masing Unit, yaitu: 1. Unit SM:Ibu Henny Susanti 2. Unit ITB: Bapak Adita Qintara 3. Unit ITO: Bapak Anindita Saktiaji 4. Unit NTS: Ibu Elsierra Putri Yosita c. Melakukan penambahan KPI untuk tahun 2013. 1. KPI untuk pengukuran kapasitas ditambahkan pada KPI Unit ITO dan ITB, yaitu target kapasitas dari suatu sistem tidak boleh melebihi 80% dari total kapasitas. 2. KPI untuk pengkuran keamanan informasi ditambahkan pada KPI unit NTS, yaitu target tidak terdapat temuan major pada saat dilakukan pengujian kemanan. 3. KPI untuk pengukuran training kepada user ditambahkan pada KPI unit SM, yaitu target dalam 1 tahun minimal dilakukan pelatihan sebanyak 2 kali.
6.2
Saran Saran yang dapat diberikan dari penelitian ini adalah sebagai berikut: 1.
Penelitian tingkat kemapanan (maturity level) tata kelola TI untuk pada PT BEI dapat dikembangkan untuk mengukur tinggkat kemapanan pada domain yang lain, yaitu domain PO, domain AI dan domain ME. Dalam melakukan assessment dibutuhkan adanya koordinasi dengan pihak-pihak yang terkait dan dibutuhkan evidance yang jelas mengenai penerapan suatu prosedur, tools yang digunakan, sertifikasi personil TI, pembagian kerja berdasarkan job description dan key performance indicator (KPI) dari setiap Divisi. Adapun pihak-pihak yang terlibat adalah a. Domain PO adalah Divisi Pengembangan Solusi Teknologi Informasi khususnya unit Quality Assurance, Divisi Operasi
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
120
Teknologi Informasi khususnya unit Sistem Manajemen dan Divisi Manajemen Risiko. b. Domain AI adalah Divisi Pengembangan Solusi Teknologi Informasi khususnya unit Quality Assurance dan Divisi Operasi Teknologi Informasi khususnya unit Sistem Manajemen c. Domain ME adalah Divisi Operasi Teknologi Informasi khususnya unit Sistem Manajemen dan Divisi Manajemen Risiko. 2.
Membuat strategi change management untuk implementasi tools baru yang direkomendasikan dari karya akhir ini seperti implementasi aplikasi knowledge management yang akan diterapkan kepada seluruh Divisi di PT BEI.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
7 1.
Referensi
Applegate, Lynda M, dkk. Corporate Information Strategy and Management. New York: McGraw-Hill Education. International Edition, 8th Edition. 2009
2.
Van Grembergen, ‘Strategies for information technology governance: An interview with Wim Van Grembergen’, in Information Management; 17, 1/2, Spring 2004.
3.
Peterson, Ryan, ‘Configurations and coordination for global information technology governance: Complex designs in a transnational European context’ in Proceedings of the 34th Hawaii International Conference on System Sciences, 2001
4.
Weill, P. and J. Ross, IT governance: How top performers manage it decision rights for superior results, Harvard Business School Press, Boston, 2004.
5.
Luftman, Jerry N., Paul R Lewis and Scott H Oldach, ‘Transforming the enterprise: The alignment of business and information technology’ in IBM Systems Journal; Vol. 32, No. 1, 1993
6.
Standards Australia dan Standards New Zealand, (2004). “Risk Management”. Sydney.
7.
Stoneburner, at all. (2002). “Risk Management Guide for IT System”. Gaithersburg: National Institute of Standards and Technology.
8.
IT Governance Institute (2007). Control Objectives for Information and related Technology (COBIT) 4.1. ISACA Journal 1-190.
9.
ITGI, (2003). ‘Board briefing in IT governance, 2nd edition’, IT Governance Institute, available at http://www.itgi.org.
10.
ITGI, IT Governance and Process Maturity, ITGI, 2008.
11.
COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition, 2007.
12.
Sasongko, Nanang, 2009, Pengukuran Kinerja Teknologi Informasi Menggunakan Framework COBIT Versi. 4.1, Pada Pt.Bank X Tbk. di
121
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
122
Bandung (Seminar Nasional Aplikasi Teknologi Informasi 2009 (SNATI 2009) ISSN: 1907-5022 Yogyakarta, 20 Juni 2009) 13.
Tanuwijaya, Haryanto and Sarno, Riyanarto, 2010, Comparation of COBIT Maturity Model and Structural Equation Model for Measuring the Alignment between University Academic Regulations and Information Technology Goals, IJCSNS International Journal of Computer Science and Network Security, VOL.80 10 No.6, June 2010
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
123
8
Lampiran 1 Wawancara
Wawancara I Hari/Tanggal : Selasa, 4 Desember 2012 Tempat
: Ruang Kepala Divisi Operasi TI
Peserta
: Kepala unit dan perwakilan staff Divisi OTI
Tujuan
: Untuk mengetahui kondisi eksisting penerapan SOP
Pada saat menurut Bapak/Ibu sekalian, secara garis besar bagaimana penerapan prosedur di PT BEI, khususnya di Divisi OTI? Pada saat ini penerapan prosedur di Divisi OTI sudah berjalan dengan baik, jika terdapat beberapa kekurangan lebih kepada penerapannya yang kurang konsisten
Pada saat ini terdapat berapa prosedur di Divisi OTI? Pada saat ini terdapat sekitar 25 SOP yang berlaku.
Prosedur apa saja yang terdapat di unit ITO? Prosedur yang berlaku di unit ITO adalah: SOP backup, SOP penanganan incident, SOP monitoring, SOP akses ruang server, SOP manajemen pelayanan dan SOP manajemen user account.
Apakah terdapat kendala/masalah dalam pelaksanaan SOP? Dalam pelaksanaan SOP, kendala yang dihadapi adalah masalah reporting yang kurang konsisten. Pada saat ini untuk operasional cukup terbantu dengan adanya tools backup dan tool monitoring.
Prosedur apa saja yang terdapat di unit ITB? Terdapat beberapa prosedur yang hamper sama dengan ITO, perbedaannya adalah SOP startup sistem karena sistem perdagangan harus di start setiap hari bursa. Sedangkan sistem perkantoran dibiarkan hidup dan hanya direstart atau dimatikan jika dilakukan pemeliharaan atau ada kebutuhan khusus.
Apakah terdapat kendala/masalah dalam pelaksanaan SOP?
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
124
Hampir sama dengan kendala yang dihadapi oleh unit ITO, kendala yang dihadapi adalah masalah konsistensi, terutama untuk akses ruang server.
Prosedur apa saja yang terdapat di unit SM? Prosedur yang berlaku di unit SM adalah: SOP permintaan layanan, SOP persediaan perangkat dan lisensi, SOP konfigurasi, SOP kapasitas, dan SOP change management
Apakah terdapat kendala/masalah dalam pelaksanaan SOP? Kendala yang ditemui terutama mengenai belum adanya tools untuk membantu mengelola konfigurasi dan persediaan perangkat serta lisensi
Prosedur apa saja yang terdapat di unit NTS? SOP yang berlaku di unit NTS adalah SOP pemeliharaan sistem, SOP penanganan masalah, dan SOP update patch.
Apakah terdapat kendala/masalah dalam pelaksanaan SOP? Adanya kendala yang ditemui dilingkungan kerja adalah koordinasi dengan vendor terutama mengenai penanganan masalah, perlu ditingkatkan awareness dan perlu juga diberikan teguran jika melakukan pelanggaran atau kinerjanya dianggap kurang baik.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
125
Wawancara II Hari/Tanggal : Jumat, 21 Desember 2012 Tempat
: Ruang Meeting 6B
Peserta
: Kepala Divisi OTI dan Kepala unit
Tujuan
:
Penyampaian
hasil
rekomendasi
dan
validasi
hasil
rekomendasi Berikut ini akan disampaikan beberapa rekomendasi yang dibuat berdasarkan hasil assessment nilai maturity cobit untuk 13 proses pada domain DS. Rekomendasi disusun berdasarkan maturity attribute yaitu: awareness & communication, policies, plan & procedures, tools & automation, skills&expertise, respondsibility & accountability dan goal setting & measurements. 1. Mengenai rekomendasi peningkatan awareness & communication, perusahaan diusulkan untuk membuat tools untuk meningkatkan komunikasi dengan pihak internal maupun eksternal, bisa dibuat forum seperti kaskus. Bagaimana tanggapan dari Bapak-Bapak sekalian? Mengenai forum komunikasi saat ini, pada saat ini sebenarnya untuk tiap proyek sudah dibuatkan milis proyek untuk meningkatkan komunikasi. Namun untuk sarana komunikasi yang lebih resmi memang belum tersedia. Salah satu usulannya mungkin bisa ditambahkan pada forum SDM yang terdapat pada aplikasi HRIS. Nanti mengenai pembagian hak akses akan dibicarakan dengan Divisi SDM dan vendor pembuat aplikasi. Karena risikonya juga tidak terlalu tinggi, pada pertengahan tahun depan kemungkinan bisa dikerjakan sedangkan pada awal tahun depan bisa dimulai untuk diskusi mengenai mekanisme penyesuaian di aplikasinya. 2. Mengenai rekomendasi peningkatan policies, plan & procedures, perusahaan
diusulkan
untuk
melakukan
update
beberapa SOP,
melakukan penunjukan staff IT governance dan menyediakan tools untuk
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
126
membantu pelaksanaan SOP. Bagaimana tanggapan dari Bapak-Bapak sekalian? a.
Mengenai update SOP, terutama yang terkait penanganan insiden dan keterkaitannya dengan aktivasi DRC harus cepat dilakukan karena risikonya tinggi jika masih ada yang kurang clear. Mengenai prosedur yang lain juga harus cepat dikerjakan, untuk mencegah terjadinya kesalahan operasional, diharapkan pada awal tahun sudah tersedia SOP yang baru. Khusus mengenai usulan penerapan IT chargeback, secara garis besar menyetujui
usulan
tersebut,
namun
untuk
penerapannya
harus
berkoordinasi dengan direktorat yang lain dan Divisi keuangan. Pada saat ini bisa dimulai untuk melakukan identifikasi layanan apa yang perlu untuk di charge dan disusun tarif yang sesuai serta melakukan studi banding penerapan IT chargeback di perusahaan lain. Untuk hal ini mengingat tingkat kesulitan dan risikonya tidak terlalu tinggi, mungkin setelah pertengahan tahun sekaligus penyusunan RKAT dapat ditargetkan untuk live. b.
Mengenai adanya usulan penunjukan staff IT governance sehingga lebih accountable, usulan tersebut bisa diterima nantinya akan ditunjuk PIC dari masing-masing unit, diharapkan yang mempunyai pengetahuan mengenai tata kelola dan orang yang taat akan SOP. Kalau bisa dari staff eksisting sehingga tidak perlu lama menunggu rekrutmen karyawan baru, namun jika kurang personil nanti parallel bisa dilakukan penambahan karyawan. Walaupun risikonya tidak terlalu tinggi, tapi hal ini tidak kompleks sehingga diharapkan pada awal tahun sudah dapat ditunjuk PIC-nya.
c.
Tools untuk membantu pengelolaan konfigurasi (CMDB) saat ini sudah dikembangkan, diharapkan pada kuartal pertama tahun depan sudah dapat mulai dipergunakan.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
127
3. Mengenai rekomendasi peningkatan tools & automation, perusahaan diusulkan menyediakan tools untuk membantu pelaksanaan operasional. Bagaimana tanggapan dari Bapak-Bapak sekalian? a.
Menyetujui usulan untuk penyediaan aplikasi yang terhubung dengan vendor, mungkin bisa dilakukan dengan membuka akses aplikasi service desk ke pihak ketiga (vendor). Untuk melakukan hal ini perlu dilakukan kajian keamanannya. Target pertengahan tahun karena menunggu hasil kajian dan risikonya juga tidak terlalu tinggi.
b.
Menyetujui usulan untuk melakukan pengadaan tools knowledge management, akan tetapi pengadaan baru bisa dilakukan pada tahun 2014 terkait dengan penyusunan anggaran dan dokumen IT Master Plan. Sehingga untuk proses ini kayaknya tidak bisa mencapai nilai 4 pada tahun 2013.
c.
Untuk tools CMDB, sama seperti jawaban di atas.
4. Mengenai rekomendasi peningkatan skills & ekspertise, perusahaan diusulkan untuk menyelenggarakan pelatihan bersertifikasi. Bagaimana tanggapan dari Bapak-Bapak sekalian ? a.
Menyetujui dilaksanakannya pelatihan, hanya saja terdapat batasan dalam 1 tahun maksimal 20% dari jumlah karyawan dari Divisi yang dapat mengambil pelatihan bersertifikasi (4 orang).
b.
Pemilihan unit untuk mengikuti pelatihan disesuaikan dengan job description dari unit tersebut dan disesuaikan dengan target pencapaian tingkat maturity pada tahun 2013 untuk 75% proses di domain DS mencapai level 4.
c.
Dalam hal ini karena untuk penyediaan aplikasi knowledge management baru bisa dilakukan pada tahun 2014 maka pelatihan yang terkait dengan proses tersebut juga akan ditunda sampai tahun 2014 yaitu proses ensure continuous service dan educate & train users.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
128
d.
Untuk pelatihan yang lain, diharapkan dapat dilakukan awal tahun 2013 mengingat manfaat, tingkat kesulitannya juga tidak besar serta tingkat risikonya.
5. Mengenai rekomendasi peningkatan respondsibility & accountability dan goal setting & measurements, perusahaan diusulkan untuk menetapkan beberapa tambahan KPI. Bagaimana tanggapan dari Bapak-Bapak sekalian ? Menyetujui usulan penambahan KPI, dapat mulai ditambahkan pada KPI tahun 2013 yang akan disusun di bulan Januari 2013. Pembagian KPI akan disesuaikan job description pada masing-masing unit kerja. a. Pengelolaan kapasitas untuk unit ITO & ITB. (DS3RA) b. Pengelolaan keamanan informasi untuk unit NTS. (DS5RA) c. Pemberian pelatihan kepada user untuk unit SM. (DS7RA)
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
129
9
Lampiran 2 Penyesuaian SOP Pemeliharaan Sistem
Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan dan uraian prosedur (diberi warna abu-abu). Detil dari prosedur yang telah disesuaikan adalah sebagai berikut: 1.
KEBIJAKAN 1.1. Pemeliharaan perangkat dan sistem TI mengacu pada perjanjian/kontrak yang disepakati kedua belah pihak (PT BEI dan vendor) dengan berpedoman pada SLA sistem terkait ISO yang telah ditetapkan PT BEI sebgai contoh: o
Pemeliharaan infrastruktur perdagangan, aplikasi network monitoring remote trading
dilakukan 4 kali dalam 1 tahun; o
Pemeliharaan aplikasi remote trading dilakukan 12 kali dalam 1 tahun;
o
Pemeliharaan aplikasi sistem perkantoran dilakukan 12 kali dalam 1 tahun
o
Pemeliharaan server-server dan sistem office dilakukan 4 kali dalam 1 tahun
1.2. Ruang lingkup pekerjaan pemeliharaan internal BEI sebagai berikut: 1.
Aplikasi dan database oleh VENDOR;
2.
Operating System, Hardware dan Network oleh VENDOR.
1.3. Pelaksanaan pemeliharaan harus disetujui oleh KaDiv OTI dan/atau KaDiv User 1.4. Preventif: Dilakukan analisa terhadap checklist kegiatan maintenance yang akan dilakukan oleh vendor. 1.5. Korektif: Membuat incident request jika terjadi temuan selama atau setelah maintenance sehingga bisa dilakukan perbaikan. 1.6. Non-conformities: Perangkat yang mengalami gangguan akan diservice, jika tidak bisa diperbaiki akan diganti dengan perangkat baru dengan pengajuan service request oleh Kanit Operasional terkait. 1.7. Evaluasi: Dilakukan analisa dan evaluasi pelaksanaan prosedur pemeliharaan perangkat setiap 6 bulan dengan membuat laporan evaluasi dan tindak lanjut kedepan. 1.8. Pengelola sistem yang dipelihara OTI User
Sistem dan Perangkat TCC: MKBDT, DB-ANGT
ANG
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
130
JATS,JATS-
PSH,PUD
RT,JOTS,BILLING_INFO,DATAFEED,SMARTS,FITS, FATS,CTP,MOFIDs HRIS
SDM
Sistem Keuangan
KEU
Sistem – sistem Office (Server, Workplace, Anti spam, Anti
OTI
Virus, Mail) Alteon E-Reporting
PPJ, PPR
Website
SPR
APNAB
WAS
DRC: MKBDD, DB-ANGD JATS,
JATS-RT,
ANG JOTS,
BILLING_INFO,DATAFEED,
PSH,PUD
SMARTS HRIS
SDM
Sistem Keuangan
KEU
Sistem – sistem Office (Server, Workplace)
OTI
1.9. A. Penjelasan Kriteria Penilaian Maintanance yang bersifat mandatory: 1. Waktu Maintanance Pada kriteria ini dapat dikatakan sesuai, jika waktu pelaksanaan maintenance dan pemberitahuan pelaksanaan maintanance sesuai dengan perjanjian kontrak pemeliharaan antara perusahaan yang terkait dengan PT BURSA EFEK INDONESIA. Pada kriteria ini dikatakan tidak sesuai, jika waktu jika waktu pelaksanaan maintenance atau pemberitahuan pelaksanaan maintanance tidak sesuai dengan perjanjian kontrak pemeliharaan antara perusahaan yang terkait dengan PT BURSA EFEK INDONESIA. 2. Prosedur Maintanance Pada kriteria ini dapat dikatakan sesuai checklist, jika prosedur pelaksanaan maintenance sesuai dengan dokumen checklist maintanance yang dibuat oleh vendor dan sudah direview serta disetujui oleh pihak PT BURSA EFEK INDONESIA. Pada kriteria ini dapat dikatakan tidak sesuai checklist, jika prosedur pelaksanaan maintenance tidak sesuai dengan dokumen checklist maintanance yang dibuat oleh vendor dan sudah direview serta disetujui oleh pihak PT BURSA EFEK INDONESIA. 3. Rekomendasi Maintanance
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
131
Pada kriteria ini dapat dikatakan sesuai jika pada saat maintenance, pihak vendor memberikan rekomendasi yang perlu dilakukan untuk mencegah munculnya problem sampai maintenance berikutnya dilakukan. Pada kriteria ini dikatakan tidak sesuai jika pada saat maintenance, pihak vendor tidak memberikan rekomendasi yang perlu dilakukan akan tetapi muncul problem setelah maintenance tersebut selesai dilakukan. Oleh karena itu, pemberian penilaian rekomendasi maintenance ini baru akan dilakukan pada 2 minggu sesudah maintenance atau saat maintenance berikutnya akan dilakukan. Hal ini dilakukan untuk melihat kemungkinan adanya problem yang muncul akibat kelalaian vendor memberikan rekomendasi. B. Penjelasan Kriteria Penilaian Problem Solving yang bersifat mandatory: 1. Waktu Problem Solving Pada kriteria ini dapat dikatakan sesuai SLA kontrak, jika waktu problem solving sesuai dengan SLA yang terdapat pada perjanjian kontrak pemeliharaan antara perusahaan yang terkait dengan PT BURSA EFEK INDONESIA. Pada kriteria ini dikatakan tidak sesuai SLA kontrak, jika waktu problem solving tidak sesuai dengan SLA yang terdapat pada perjanjian kontrak pemeliharaan antara perusahaan yang terkait dengan PT BURSA EFEK INDONESIA. 2. Hasil Problem Solving Pada kriteria ini dapat dikatakan Operational Sistem Normal, jika hasil problem solving tersebut bisa membuat operasional sistem berjalan normal sesuai dengan keadaan semula. Pada kriteria ini dikatakan Operational Sistem Tidak Normal, , jika hasil problem solving tersebut tidak bisa membuat operasional sistem berjalan normal sesuai dengan keadaan semula. Berikut ini merupakan bobot untuk maintanance dan problem solving. Maintanance
: 55%
Problem Solving
: 45%
Bila selama maintenance tidak terdapat problem yang terjadi maka bobot untuk maintenance sebagai berikut: Maintanance
: 100%
Problem Solving
: 0%
Berikut ini merupakan sistem scoring yang akan digunakan untuk masing-masing kriteria baik
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
132
maintanance maupun problem solving. Pada form evaluasi vendor, scoring ini dimasukkan pada bagian catatan : Tabel 9.1. Sistem score Score
Level
0 =< X <=1
Tidak Sesuai
2 =< X <=3
Sesuai
Measurement : 0 : Jika kesalahan tersebut tidak bisa ditolerir, misalnya sampai mengganggu aktivitas bisnis 1 : Jika kesalahan tersebut masih dalam batas kewajaran, tidak sampai menggangu aktivitas bisnis 2 : Sesuai dengan kontrak 3 : Sesuai penilaian ITO/ITB/NTS kegiatan pemeliharaan melebihi apa yang ada dalam kontrak Pengambilan Keputusan. Berikut ini merupakan kategori hasil evaluasi dari vendor, sesuai dengan hasil perhitungan proses scoring. Pada pengambilan keputusan ini menggunakan tingkat service level mencapai 98% (SLA bisnis 97,5%) : Tabel 9.2. Kategori hasil evaluasi Kategori
Nilai hasil evaluasi
Keterangan
Baik
>= 0.98
Diperpanjang
Buruk
< 0.98
Tender Ulang
Unit SM akan melakukan summary dari dokumen evaluasi rekanan yang telah dibuat dengan format sebagai berikut:
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
133
Untuk selanjutnya akan dijadikan dasar (dilampirkan) pada form Service Request 1.10. PT BEI berhak memberikan teguran terhadap vendor jika hasil evaluasi kinerja vendor tidak sesuai dengan SLA yang telah dijanjikan. Kesalahan dari vendor yang layak diberikan teguran adalah 1.
Melewati SLA untuk problem solving, baik respond time, onsite maupun resolution time
2.
Lupa dalam memberikan rekomendasi perbaikan
3.
Tidak melakukan kegiatan preventive maintenance sesuai dengan scope pekerjaan.
Pemberian teguran dilakukan dengan mengirimkan surat teguran kepada vendor sesuai dengan kesalahan yang telah dibuat. 1.11. Melakukan audit secara rutin terhadap vendor yang menyediakan layanan kepada PT BEI seperti vendor penyedia jaringan untuk kegiatan perdagangan saham. 2.
URAIAN PROSEDUR : No
Nama Pelaksana/Uraian
Dokumen
KaUnit OPR OFF/OPR BIS/User 1.
Mengajukan kegiatan pemeliharaan beserta analisa estimasi dampak
Log Jadwal
kegiatan pemeliharaan untuk diberikan kepada KaDiv OTI dan/atau
Pemeliharaan
KaDiv User;
Perangkat dan sistem TCC FORM-OTI-018-01
KaDiv dan KaUnit User 2.
Review dampak kegiatan pemeliharaan;
FORM-OTI-018-01
3.
Menyetujui kegiatan pemeliharaan;
FORM-OTI-018-01
KaDiv OTI 4.
Review dampak kegiatan pemeliharaan;
FORM-OTI-018-01
5.
Menyetujui kegiatan pemeliharaan dan melaporkan kepada Direktur
FORM-OTI-018-01
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
134
TI; KaDiv OTI 6.
Disposisi kepada Unit NTS untuk pelaksanaan kegiatan
FORM-OTI-018-01
pemeliharaan; KaUnit NTS 7.
Disposisi kepada Staf Unit NTS untuk pelaksanaan kegiatan
FORM-OTI-018-01
pemeliharaan; Staf NTS 8.
Melakukan pemeliharaan perangkat dan sistem TI dengan jadwal
FORM-OTI-018-01
pelaksanaan mengacu kepada jadwal yang tertera di Form Pemeliharaan Perangkat dan sistem OTI dan sesuai dengan ruang lingkup pekerjaan; 9.
Memastikan bahwa perangkat dan sistem TI dapat beroperasi
FORM-OTI-018-01
sebagaimana mestinya; 10.
Jika pemeliharaan selesai dilakukan, lengkapi Form Evaluasi
FORM-OTI-018-01
Pemeliharaan Perangkat dan sistem OTI;
FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04
11.
Memberikan rekomendasi untuk pemberian teguran jika terdapat
FORM-OTI-018-01
kesalahan yang dilakukan oleh vendor serta membuat draft surat
FORM-OTI-018-
teguran;
02 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran
12.
Melaporkan hasil pemeliharaan kepada KaUnit NTS
FORM-OTI-018-01 FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran
KaUnit NTS 13.
Review hasil kegiatan pemeliharaan serta mereview hasil
FORM-OTI-018-01
rekomendasi pemberian teguran yang diusulkan oleh staff unit NTS;
FORM-OTI-01802
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
135
FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran 14.
Memberikan hasil pemeliharaan kepada KaUnit OPR OFF/OPR
FORM-OTI-018-01
BIS/User;
FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran
KaUnit OPR OFF/OPR BIS/User 15.
Review hasil kegiatan pemeliharaan serta mereview hasil
FORM-OTI-018-01
rekomendasi pemberian teguran yang diusulkan oleh staff unit NTS;
FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran
16.
Melaporkan hasil pemeliharaan kepada KaDiv OTI
FORM-OTI-018-01 FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran
KaDiv OTI 17.
Review hasil kegiatan pemeliharaan serta mereview hasil
FORM-OTI-018-01
rekomendasi pemberian teguran yang diusulkan oleh staff unit NTS;
FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran
18.
Jika pengajuan pemeliharaan dilakukan oleh User, maka KaDiv OTI
FORM-OTI-018-01
memberikan Formulir Pemeliharaan Perangkat dan sistem OTI
FORM-OTI-018-
kepada KaDiv User untuk ditandatangani (lanjut ke butir 28);
02 FORM-OTI-018-03 FORM-OTI-018-04
19.
Memberikan paraf formulir kinerja vendor. Sedangkan tenda tangan
FORM-OTI-018-01
formulir kinerja vendor baru akan dilakukan jika penilaian
FORM-OTI-018-
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
136
rekomendasi maintanance sudah dilakukan.
02 FORM-OTI-018-03 FORM-OTI-018-04
20.
Memberikan persetujuan pada surat teguran jika vendor memang
FORM-OTI-018-01
terbukti bersalah.
FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran
21.
Jika pengajuan pemeliharaan dilakukan oleh KaUnit OPR OFF/OPR
FORM-OTI-018-01
BIS, maka Formulir Pemeliharaan Perangkat, formulir evaluasi
FORM-OTI-018-
kinerja vendor dan sistem OTI dikembalikan kepada KaUnit OPR
02
OFF/OPR BIS
FORM-OTI-018-03 FORM-OTI-018-04
KaDiv dan KaUnit User 22.
Review hasil kegiatan pemeliharaan;
FORM-OTI-018-01 FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04
23.
Mengembalikan Formulir Pemeliharaan Perangkat, formulis evaluasi FORM-OTI-018-01 kinerja vendor dan sistem OTI kepada Divisi OTI
FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
137
10 Lampiran 3 Penyesuaian SOP Capacity Management Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan (diberi warna abu-abu). Detil dari prosedur yang telah disesuaikan adalah sebagai berikut: KEBIJAKAN 1. 2. 3. 4. 5. 6. 7.
8. 9. 10. 11.
Kegiatan pengukuran kapasitas dan performance asset TI dilakukan secara rutin 3 bulan sekali untuk sistem: JATS, JATS-RT, Datafeed-MDDS, SMARTS, Workplace, MKBD, Domain Controller, DBANG, APNAB, DBWAS, Exchange dan IDXNET. Periode pengukuran adalah 3 bulan dan setelah data terkumpul selama 1 tahun (4 periode baru akan dilakukan forecasting). Pengukuran kapasitas dilakukan berdasarkan data dari tool monitoring. Data yang digunakan untuk pengukuran adalah data yang tertinggi dan trend yang didapat dari tool monitoring baik di area bisnis maupun office. Pengukuran kapasitas juga dilakukan pada saat dilakukan implementasi sistem baru dan ketika dilakukan enhancement atau update versi pada sistem eksisting. Kegiatan pengukuran juga dapat dilakukan ketika dibutuhkan, yaitu pada saat akan diimplementasikan sistem baru, adanya upgrade, atau versi baru, untuk melihat trend dan kemungkinan kapasitas dalam beberapa waktu ke depan. Berdasarkan hasil data pengukuran kapasitas, jika kondisi exsisting sudah mencapai 60% (treshold) diperlukan adanya suatu assessment dan tindaklanjut, mulai dari perbaikan, penambahan sampai penggantian asset TI tersebut Berdasarkan data yang didapatkan akan dilakukan forecast kapasitas dan performance asset TI untuk jangka waktu 1 tahun kedepan. Metode peramalan yang akan digunakan akan dipilih berdasarkan tipe datanya, adapun metode yang akan dipakai adalah sebagai berikut: 1. Regression untuk data yang mempunyai trend 2. Moving Average untuk data yang mempunyai tipikal mendekati suatu nilai (nilai rata-rata). Preventif Adanya data hasil monitoring sistem perkantoran dan perdagangan. Korektif Melakukan update data pada form rekapitulasi kapasitas. Nonconformities Dokumen yang dihasilkan akan di-destroy. Evaluasi Dilakukan analisa dan evaluasi pelaksanaan prosedur capacity planning setiap 6 bulan dengan membuat laporan evaluasi dan tindak lanjut kedepan.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
138
11 Lampiran 4 Penyesuaian SOP Incident Management Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan dan uraian prosedur (diberi warna abu-abu). Detil dari prosedur yang telah disesuaikan adalah sebagai berikut:
1.
KEBIJAKAN 1. Service desk dan Staf unit IT Office / IT Bisnis harus melakukan monitoring pencapaian Operation Level (OL) dan Update status untuk setiap insiden yang terjadi. 2. Semua insiden (termasuk insiden keamanan informasi) harus dicatat di sistem Service desk, dimonitor, didokumentasikan dan dikomunikasikan kepada pihak-pihak terkait. 3. Yang termasuk ke dalam insiden keamanan informasi adalah hal-hal sebagaimana berikut, namun tidak terbatas kepada: a. Kebocoran informasi yang sifatnya sensitif/rahasia/terbatas. Hal ini dapat terjadi jika informasi yang berada didalam perusahaan, tidak terklasifikasi dengan baik berdasarkan aspek kerahasiaannya, maka dapat berpotensi informasi rahasia dapat terbuka. b. Insiden terkait server (fisik server, ruang server, dll). Hal ini dapat terjadi karena sempurnanya pengontrolan terhadap ruang server secara berkala yang memungkinkan memicu gangguan terhadap server yang berdampak hilangnya data master atau data back-up perusahaan. c. Kerusakan atau kehilangan aset fisik bermuatan informasi (PC, Notebook, removable media, external harddisk, mobile devices) yang berpotensi menyebabkan hilangnya/tersebarnya informasi sensitif yang ada di dalamnya.. d. Insiden terkait serangan virus, malware, hacker, intruder, dan lain-lain, yang berpotensi menimbulkan gangguan terhadap availability maupun integrity informasi digital. 4. Jika terjadi insiden keamanan informasi, maka harus dipastikan hal-hal berikut dilakukan: a. Dilakukan analisis dampak yang disebabkan oleh insiden keamanan informasi tersebut, yang paling tidak mencakup jenis, valume serta kerugian baiaya yang disebabkan oleh insiden tersebut. b. Bukti-bukti pendukung terhadap insiden keamanan informasi harus didokumentasikan. 5. Setiap bulannya Ka. Unit IT Office dan IT Bisnis harus melakukan review (trend analysis) terhadap response time dan resolution time atas insiden yang terjadi dan melaporkan hasil analisanya ke Kadiv OTI serta melakukan improvement atas pelayanan yang diberikan. 6. Knowledge Database harus selalu dimutakhirkan (update) atas insiden sesuai dengan solusi yang diberikan untuk mempercepat proses penanganan insiden . 7. Proses eskalasi penanganan insiden harus dilakukan dengan cepat sesuai dengan Operation Level yang telah ditentukan. 8. Setiap insiden harus dicarikan temporary solution dalam Operation Level tertentu supaya operasional dapat segera dilanjutkan, sebelum dicarikan penyebab masalahnya dan fixed solution. 9. Pada saat melakukan penanganyan incident harus memperhatikan severity dari incident tersebut, jika sudah memasuki severity 1 maka harus langsung berkoordinasi dengan unit BCM mengenai kemungkinan aktifasi DRC. Paling lambat pada pukul 08:30 sudah harus diputuskan untuk aktivasi DRC karena untuk aktivasi DRC dan penyebaran informasi kepada Anggota Bursa dibutuhkan waktu sekitar 30 menit
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
139
10. Insiden/Problem yang membutuhkan penggantian/pengadaan nantinya akan dilanjutkan dengan pembuatan Service Request untuk persetujuan anggaran. 11. Insiden yang telah selesai dikerjakan akan diberikan notifikasi kepada user yang kemudian user berhak menentukan apakah insiden tersebut telah solve atau belum. 12. Insiden yang menurut user belum solve, insiden tersebut akan di re-open oleh service desk dan nantinya akan dilakukan perbaikan lagi oleh unit terkait. 13. Jika dalam 3 hari setelah notifikasi tidak terdapat tanggapan dari user, maka insiden tersebut dianggap telah solve. 14. Form Trouble ticket akan digunakan apabila sistem service desk tidak dapat digunakan. 15. Pemutakhiran data knowledge base dilakukan oleh ITO/ITB/NTS untuk insiden /problem yang sering terjadi dan bisa dilakukan problem solving oleh end user. 16. Preventif: Dilakukan analisa insiden report oleh service desk terkait laporan insiden berdasarkan WI Analisa Service desk. 17. Korektif: Membuka kembali insiden report yang perbaikannya belum sesuai tanpa menghilangkan activities log (WI Re-Open Insiden Report). Kemudian dilakukan analisa dan perbaikan ulang. 18. Non-conformities: Konfigurasi dikembalikan seperti keadaan semula. 19. Evaluasi: Dilakukan analisa dan evaluasi pencapaian SLA penanganan insiden setiap 6 bulan berdasar pada report aplikasi service desk. Hasil akhir evaluasi berupa laporan dan usulan perbaikan. 2. URAIAN PROSEDUR No Nama Pelaksana/Uraian
Dokumen
User 1.
Input request yang terjadi ke dalam sistem service desk (create
FORM-OTI-005-01
Ticket Number)
WI-OTI-005-01
Catatan :
FORM-OTI-005-01
Sebelum create request ke dalam sistem service desk user sebaiknya mencari solusi di Knowledge Database. 2.
Cari solusi dalam knowledge database :
Knowledge DB
Jika tidak ada solusi maka lakukan eskalasi ke 1st level ITB / ITO
Jika ada solusi nya maka lakukan solusi untuk penanganan insiden.
3.
Jika solusi sudah dilakukan tapi insiden masih belum dapat
WI-OTI-005-01
solve, maka create request untuk eskalasi ke 1st level ITB/ITO 4.
Jika solusi sudah dilakukan dan insiden solve , maka update
WI-OTI-005-01
status Close Request. 5.
Create request dan update sistem service desk jika belum solve
Service desk 6.
Terima request dari User dan analisa request :
WI-OTI-001-01
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
140
No
Nama Pelaksana/Uraian
Dokumen
Jika tidak masuk dalam scope OTI, maka reject dan berikan alasannya.
Jika masuk dalam scope OTI, maka eskalasi request menjadi insiden dan Monitoring status insiden. FORM-OTI-005-02
7.
Buat Laporan insiden
FORM-OTI-023-05 WI-OTI-005-02
8.
Update status insiden
WI-OTI-005-02
Unit IT Bisnis / IT Office 9.
Proses Disposisi insiden ke ITO/ITB
10.
Ka.Unit ITB / ITO, response / tanggapi laporan insiden dari
FORM-OTI-005-01
User dan assign PIC
WI-OTI-005-02
Staff ITB / ITO lakukan Investigasi dan Analisa atas insiden
FORM-OTI-005-01
yang terjadi.
WI-OTI-005-02
Laporkan ke ISEG apabila terindikasi adanya information
FORM-OTI-005-04
11. 12.
security incident. 13.
Cari temporary solusi untuk insiden yang terjadi
FORM-OTI-005-01
14.
Jika sampai pukul 08:30 belum ditemukan temporary solution
FORM-OTI-005-01
maka akan dilakukan aktivasi DRC. 15
Lakukan penanganan insiden dengan melaksanakan temporary
FORM-OTI-005-01
solusi tersebut. 16.
Cek apakah temporary solusi yang dilakukan sudah bisa
FORM-OTI-005-01
menyelesaikan insiden yang terjadi :
FORM-OTI-005-03
Jika belum dapat menyelesaikan insiden yang terjadi, maka lakukan eskalasi dan penanganan masalah sesuai dengan prosedur penanganan masalah.
Jika temporary solusi dapat menyelesaikan insiden yang terjadi, maka update status insiden dan knowledge database dalam sistem service desk
Mengisi form rekapitulasi incident untuk menentukan tipe incident
17.
Konfirmasi ke User bahwa insiden sudah resolve.
FORM-OTI-005-01
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
141
No
Nama Pelaksana/Uraian
Dokumen
Service desk 18.
Konfirmasi ke User bahwa insiden sudah resolve.
FORM-OTI-005-01
User 19.
Terima konfirmasi insiden sudah resolve dan update status
Sistem Service desk
“close incident” dalam sistem service desk. Ka. Unit 20.
Lakukan review terhadap laporan insiden yang terjadi setiap
SOP-OTI-011
bulan (Monthly) dan laporkan hasil review tersebut ke Ka. Div.
FORM-OTI-005-02
OTI 21.
Selesai
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
142
12 Lampiran 5 Tingkat Saverity Incident Penyesuaian penanganan waktu incident yang disesuaikan dengan tingkat severity-nya. Detil dari prosedur yang telah disesuaikan adalah sebagai berikut:
Gambar 12.1 Tingkatan Saverity Incident
Dalam hal ini, jika terdapat gangguan terutama sistem perdagangan, jika belum diketemukan solusinya sampai pukul 08:30 maka harus dilakukan aktivasi DRC agar perdagangan tetap dapat dimulai tepat waktu pada pukul 09:10.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
143
13 Lampiran 6 Penyesuaian SOP Backup Rutin Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan dan uraian prosedur (diberi warna abu-abu). Detil dari prosedur yang telah disesuaikan adalah sebagai berikut: 1. KEBIJAKAN 1.
Full backup sistem dilakukan setiap hari menggunakan fitur dari storage dari TCC ke DRC.
2.
Staf ITO memastikan hasil backup telah dilakukan dengan baik dan direview oleh Kepala Unit ITO
3.
Laporan hasil backup secara rutin dilaporkan kepada Kepala Divisi OTI setiap 1 bulan seklai dan selanjutnya disampaikan kepada user via email.
4.
Preventif: Memastikan persiapan backup telah dilakukan, hal ini dipastikan pada form backup rutin.
5.
Korektif: Melakukan perulangan proses backup dengan menggunakan form backup rutin.
6.
Non-conformities: Melakukan penghapusan file backup yang incomplete/corrupt.
7.
Evaluasi: Dilakukan analisa dan evaluasi hasil backup rutin dengan melakukan restore hasil backup dan untuk kemudian dilakukan pengujian aplikasi oleh user pada saat simulasi DRC. Hal ini dilampiri dengan ND hasil simulasi DRC. Evaluasi prosedur akan dilakukan setiap 6 bulan.
8.
Target keberhasilan proses backup dan restore disebutkan pada dokumen KPI Divisi.
2. URAIAN PROSEDUR : No
Nama Pelaksana/Uraian
Dokumen
Kepala Unit IT Operasional 1.
Ka Unit ITO menugaskan staf ITO untuk melakukan Backup Rutin; Staf ITO
2.
Memastikan proses full backup melalui snapmirror dan
FORM-OTI-002-01
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
144
snapvault ke DRC untuk semua aplikasi dan JSXDATA2 serta JSXDATA3. 3.
Memastikan proses restore telah berhasil dilakukan dengan
FORM-OTI-002-01
baik; 4.
Jika
terjadi
kegagalan
dalam
proses
backup
maka
jalankan/eksekusi ulang script scheduler backup. Jika hal ini masih gagal, lakukan copy master data file (extension MDF) untuk database kemudian lakukan proses attach database dimaksud, atau copy manual directory tertentu ke lokasi backup; 5.
Jika masih terjadi kegagalan backup maka lakukan eskalasi
FORM-OTI-005-01
Penanganan Masalah 2nd Level TCC; 6.
Menyampaikan hasil Backup kepada Ka Unit ITO setiap hari;
7.
Jika terjadi kegagalan dalam proses restore
maka
jalankan/eksekusi ulang dengan lakukan copy master data file (extension MDF) untuk database kemudian lakukan proses attach database dimaksud, atau copy manual directory tertentu ke lokasi produksi; 8.
Jika masih terjadi kegagalan restore maka lakukan eskalasi
FORM-OTI-005-01
Penanganan Masalah 2nd Level TCC; 9.
Membuat laporan backup setiap 1 bulan, selanjutnya
FORM-OTI-002-01
disampaikan kepada Kepala unit ITO dan Kepala Divisi OTI KaUnit ITO 10.
Memeriksa hasil Backup – restore. Jika terjadi kejanggalan
FORM-OTI-002-01
operasi, langsung ditindaklanjuti dengan langkah solusi yang perlu dilakukan; 11.
Menyampaikan laporan backup setiap bulan ke Kadiv OTI.
FORM-OTI-002-01
Kadiv OTI 12.
Melakukan review hasil backup dan memberikan
FORM-OTI-002-01
persetujuan jika laporan backup telah sesuai. 13.
Menyampaikan laporan hasil backup kepada Kepala Divisi
FORM-OTI-002-01
dari pengguna sistem.
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
145
14 Lampiran 7 Penyesuaian Form Backup Rutin Terdapat perubahan form pelaporan backup dengan menghapus kolom persetujuan kepala Divisi Pengguna Sistem. Persetujuan cukup sampai Kepala Divisi OTI dan selanjutnya akan dikirimkan via email kepada Kepala Divisi User. 1. Form lama No 1.
Metode Backup
Nama Sistem / Proses
Source
Target
Hasil
Persiapan backup a. Koneksi TCC-DRC b. Space storage c. Proses hasil backup
2.
System A
Incremental Pukul: Full Backup Pukul
3.
System B
Incremental Pukul: Full Backup Pukul
4.
Dst
Incremental Pukul: Full Backup Pukul Diusulkan Oleh,
(
Diperiksa Oleh,
)
(
)
Staf Operasional Perkantoran
Ka Unit Operasional Perkantoran
Diketahui Oleh,
Diketahui Oleh,
(
) Kepala Divisi OTI
(
)
Ka Unit /Staff Pengguna Sistem
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013
146
2. Form baru No 1.
Metode Backup
Nama Sistem / Proses
Source
Target
Hasil
Persiapan backup a.
Koneksi TCCDRC
b.
Space storage
c. Proses hasil backup 2.
System A
Incremental Pukul: Full Backup Pukul
3.
System B
Incremental Pukul: Full Backup Pukul
4.
Dst
Incremental Pukul: Full Backup Pukul Diusulkan Oleh,
(
Diperiksa Oleh,
)
(
Staf Operasional Perkantoran
)
Ka Unit Operasional Perkantoran Diketahui Oleh,
(
) Kepala Divisi OTI
Universitas Indonesia
Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013