UNIVERSITAS INDONESIA EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS PT BURSA EFEK INDONESIA KARYA AKHIR

UNIVERSITAS INDONESIA

EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS PT BURSA EFEK INDONESIA

KARYA AKHIR

HUSNUL HIDAYAT 1106121780

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013

UNIVERSITAS INDONESIA

EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS PT BURSA EFEK INDONESIA

KARYA AKHIR

Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi

HUSNUL HIDAYAT 1106121780

FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013




KATA PENGANTAR Tak ada kata yang terucap selain Syukur Alhamdulillah atas segala petunjuk, pertolongan, kemudahan, kasih sayang, dan ridho Allah SWT, sehingga penulis dapat menyelesaikan laporan tugas akhir dengan judul “Evaluasi dan Analisis Tingkat Kemapanan Tata Kelola Teknologi Informasi. Studi Kasus PT Bursa Efek Indonesia”, yang merupakan salah satu syarat kelulusan pada Program Studi Sistem Informasi, Fakutas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya. Tugas Akhir ini takkan pernah terwujud tanpa dukungan, saran, dan bantuan dari berbagai pihak. Pada kesempatan ini penulis menyampaikan ucapan terima kasih kepada semua pihak yang telah membantu penulis baik dalam pelaksanaan tugas akhir hingga selesainya penyusunan laporan tugas akhir ini. Ucapan terima kasih penulis sampaikan kepada: 

Bapak Budi Yuwono dan Bapak Alex Ferdinansyah, selaku dosen pembimbing penulis atas segala ketulusan dalam membimbing, membagi ilmu, juga motivasi dan semangat selama perkuliahan dan proses mengerjakan tugas akhir.



Bapak Yudho Giri Sucahyo, Ph.D dan Dr. Eko. K Budiarjo selaku dosen penguji yang telah memberikan kritik dan saran yang membangun untuk membuat karya akhir ini menjadi lebih baik



Bapak Direktur TMR dan rekan-rekan Divisi SDM yang telah memberikan beasiswa selama saya menempuh kuliah S2 di MTI UI.



Bapak M Fadlol Basori (alm) dan Ibu Mufidah, atas segala kasih sayang, doa yang tiada henti, kepercayaan dan dukungan penuh yang selalu dapat memberi motivasi. Semoga Husnul selalu dapat melakukan yang terbaik untuk Bapak & Ibu. Amin.



Istri ku yang tercinta Afin Tri Pamungkas, atas pengertian, kasih saying, doa, dan dukungan penuh yang selalu dapat memberi motivasi. Semoga setelah berakhirnya kuliah ini akan bertambah waktu luangku untuk bersama keluarga kecil kita. iv Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013



Bapak Mertua dan Ibu Mertua, Cak Punk, Mbak Lina, Cak Basit, Mbak Yanti, Ponakan-ponakan ku (Ama, Rizqi, Fela, Bintang, Tristan dan Fadhil) serta seluruh keluarga besar yang selalu memberikan dukungan dan semangat.



Atasan dan rekan-rekan kerja di kantor, Bapak Abdul Munim, Bapak Budhi, Bapak Isman, Bapak Inang, Bapak Bhayu, Mas Rakhman, Mbak Henny dan teman-teman yang lain, terima kasih atas dukungannya dan bersedia mendengar keluh kesah mengenai mengenai membagi waktu antara pekerjaan, kuliah dan keluarga.



Buat teman-teman kelas SCMTI 2011-2012, terutama buat Sonya dan Harry yang hamper selalu jadi temen sekelompok, terima kasih atas segala pertemanan & persahabatan selama ini dan semoga tidak akan berhenti sampai kapan pun. Semoga selalu sukses y.

Semoga kebaikan yang telah diberikan dibalas oleh Allah SWT. Akhirnya penulis menyadari masih banyak kekurangan dalam Tugas Akhir ini. Untuk itu penulis mengharapkan adanya kritik dan saran yang dapat menyempurnakan Tugas Akhir ini. Harapan penulis, semoga Tugas Akhir ini dapat bermanfaat bagi pembaca. Jakarta, Januari 2013

Penulis

v Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013


2

ABSTRAK

Nama : Husnul Hidayat Program Studi : Magister Teknologi Informasi Judul : Evaluasi dan Analisis Tingkat Kemapanan Tata Kelola Teknologi Informasi: Studi Kasus PT Bursa Efek Indonesia Teknologi informasi (TI) diyakini sebagai pendukung utama dalam perkembangan pasar modal, untuk itu dibutuhkan adanya pengelolaan TI yang baik yang dilandasi dengan adanya tata kelola yang mengacu kepada standard dan best practice IT governance. Penelitian ini mencoba memberikan evaluasi, rekomendasi dan program jangka pendek yang dapat dilakukan untuk meningkatkan tingkat kemapanan tata kelola di PT Bursa Efek Indonesia (BEI). Hal ini dilakukan untuk meminimalkan downtime dan meningkatkan layanan kepada pelanggan agar kepuasan dan kepercayaan dari pelanggan terus terjaga sehingga pada akhirnya diharapkan volume perdagangan dapat terus meningkat. Pada penelitian ini evaluasi tingkat kemapanan tata kelola dilakukan berdasarkan framework Cobit 4.1, setelah dilakukan evaluasi akan disusun rekomendasi perbaikannya serta disusun program jangka pendek untuk meningkatkan tingkat kemapanan sesuai harapan PT BEI. Pada penelitian ini juga memanfaatkan metode IT risk management untuk mengetahui tingkat risiko yang dapat ditimbulkan jika rekomendasi perbaikan tidak dilakukan. Berdasarkan hasil evaluasi dapat diketahui jika perusahaan direkomendasikan untuk melakukan perbaikan prosedur dan pengembangan aplikasi untuk meningkatkan awareness dan efektifitas operasional. Kata Kunci: Tata kelola, Cobit 4.1, Tingkat kemapanan, IT Risk Management

vii

Universitas Indonesia


3

ABSTRACT

Nama : Husnul Hidayat Program Studi : Master of Information Technology Judul : Evaluation and Analysis of Maturity Level Information Technology Governance. Case Study: Indonesia Stock Exchange Information technology (IT) is believed to be a mojor driver for capital market, it is necessary to have good IT management which based on it governance that can comply to IT governance standards and best practice. This research was trying to evaluate, give recommendation and short-term program to improve the maturity level of IT governance in Indonesia Stock Exchange (IDX). The purpose is to minimize downtime and to improve customer satisfaction and maintain their belief and finally the volume of trading will increase. In this research, the evaluation of maturity level is based on framework COBIT 4.1, after the evaluation will be given recommendations for improvement and create short-term program to improve the maturity level as expected by PT IDX. In this research also utilizes IT risk management methods to determine the level of risk that may appear if the recommendations are not implemented. Based on the evaluation results could be known that the company was recommended to improve the procedures and develop application to increase awareness and operational effectiveness. Keywords: IT governance, Cobit 4.1, Maturity level, IT Risk Management

viii



4

DAFTAR ISI

HALAMAN PERNYATAAN ORISINALITAS.............................................................. ii HALAMAN PENGESAHAN ............................................................................................. iii KATA PENGANTAR .......................................................................................................... iv PERNYATAAN PERSETUJUAN PUBLIKASI KARYA ILMIAH UNTUK KEPENTINGAN AKADEMIS ....................................................................................... vi ABSTRAK .............................................................................................................................vii ABSTRACT ..........................................................................................................................viii DAFTAR ISI ...........................................................................................................................ix DAFTAR GAMBAR ............................................................................................................xii DAFTAR TABEL ................................................................................................................xiii BAB I PENDAHULUAN .................................................................................................. 1 1.1

Latar Belakang ............................................................................................... 1

1.2

Perumusan Masalah........................................................................................ 5

1.3

Tujuan Penelitian............................................................................................ 9

1.4

Manfaat Penelitian.......................................................................................... 9

1.5

Ruang Lingkup Penelitian ............................................................................ 10

BAB II LANDASAN TEORI .......................................................................................... 11 2.1

Tata Kelola Teknologi Informasi ................................................................. 11

2.2

Cobit versi 4.1 .............................................................................................. 14

2.3

Cobit Maturity Model................................................................................... 17

2.4

ITIL versi 3................................................................................................... 24

2.5

Manajemen Risiko........................................................................................ 27

2.6

Framework NIST ......................................................................................... 28

BAB III METODOLOGI PENELITIAN ........................................................................ 33 3.1

Metodologi ................................................................................................... 33

3.2

Framework Penelitian................................................................................... 36

BAB IV PROFIL PERUSAHAAN .................................................................................. 37 4.1

Tata Kelola Organisasi ................................................................................. 40

4.2

Struktur Organisasi....................................................................................... 42

ix



BAB V ANALISIS DAN PEMBAHASAN ................................................................... 45 5.1

Metode untuk Assessment Penerapan Tata Kelola TI.................................. 45

5.2

Pengukuran Kemapanan Tata Kelola ........................................................... 52

5.2.1

DS1 Define and Manage Service Level ................................................ 56

5.2.2

DS2 Manage Third Party Services ....................................................... 59

5.2.3

DS3 Manage Performance and Capacity ............................................. 63

5.2.4

DS4 Ensure Continuous Service ........................................................... 66

5.2.5

DS5 Ensure System Security ................................................................. 70

5.2.6

DS6 Identify and Allocate Cost............................................................. 73

5.2.7

DS7 Educate and Train Users .............................................................. 75

5.2.8

DS8 Manage Service desk and Incidents .............................................. 78

5.2.9

DS9 Manage Configuration.................................................................. 81

5.2.10

DS10 Manage Problem......................................................................... 84

5.2.11

DS11 Manage Data .............................................................................. 87

5.2.12

DS12 Manage The Physical Environment ............................................ 90

5.2.13

DS13 Manage Operations .................................................................... 93

5.2.14

Nilai Kemapanan untuk domain DS ..................................................... 97

5.3

Rekomendasi Perbaikan ............................................................................... 98

5.4

Risk Assessment untuk Menentukan Prioritas Rekomendasi...................... 103

5.5

Validasi Rekomendasi ................................................................................ 107

5.6

Pembuatan Program ................................................................................... 113

BAB VI KESIMPULAN DAN SARAN ...................................................................... 117 6.1

Kesimpulan................................................................................................. 117

6.2

Saran ........................................................................................................... 119

Referensi .............................................................................................................................. 121 Lampiran 1 Wawancara ..................................................................................................... 123 Lampiran 2 Penyesuaian SOP Pemeliharaan Sistem ..................................................... 129 Lampiran 3 Penyesuaian SOP Capacity Management .................................................. 137 Lampiran 4 Penyesuaian SOP Incident Management ................................................... 138 Lampiran 5 Tingkat Saverity Incident ............................................................................. 142 Lampiran 6 Penyesuaian SOP Backup Rutin ................................................................. 143 x



Lampiran 7 Penyesuaian Form Backup Rutin ................................................................ 145

xi



5

DAFTAR GAMBAR

Gambar 1.1 Remote Trading......................................................................................... 2 Gambar 1.2 IT Strategic Impact Grid (APPLEGATE, 2009) ....................................... 3 Gambar 1.3 Maturity Level Cobit pada tahun 2010 dan tahun 2011............................ 5 Gambar 1.4 Fishbone diagram penyebab adanya gap tingkat kemapanan ................... 8 Gambar 2.1 Fokus Utama IT Governance .................................................................. 13 Gambar 2.2 Kerangka kerja COBIT 4.1 ..................................................................... 17 Gambar 2.3 Matury Model Cobit................................................................................ 18 Gambar 2.4 Kerangka kerja ITIL versi 3 .................................................................... 27 Gambar 2.5 Framework Risk manajemen NIST 800-30 ............................................ 28 Gambar 3.1 Tahapan Penelitian .................................................................................. 33 Gambar 3.2 Framework penelitian.............................................................................. 36 Gambar 4.1 Struktur Organisasi BEI .......................................................................... 42 Gambar 4.2 Struktur Direktorat TMR......................................................................... 43

xii



6

DAFTAR TABEL

Tabel 1.1 Maturity Level Proses pada Domain DS pada Tahun 2011 .......................... 6 Tabel 2.1 Unsur-Unsur Tata Kelola TI ....................................................................... 12 Tabel 2.2 Maturity Attribute ....................................................................................... 21 Tabel 2.3 Template Risk Assessment........................................................................... 32 Tabel 4.1 Sejarah Perkembangan BEI ........................................................................ 37 Tabel 5.1 Analisis SOP Divisi Operasi TI .................................................................. 46 Tabel 5.2 Maturity Attribute ....................................................................................... 46 Tabel 5.3 Assessment Maturity Level DS1 define and manage service level ............. 56 Tabel 5.4 Assessment Maturity Level DS2 Manage Third Party Services ................. 60 Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity ....... 63 Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service ..................... 67 Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security ........................... 70 Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost....................... 73 Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users ........................ 76 Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents ...... 79 Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration.......................... 82 Tabel 5.12 Assessment Maturity Level DS10 Manage Problem................................. 85 Tabel 5.13 Assessment Maturity Level DS11 Manage Data....................................... 88 Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment .... 91 Tabel 5.15 Assessment Maturity Level DS13 Manage Operations............................. 94 Tabel 5.16 nilai maturity level pada domain DS......................................................... 97 Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute........................................ 98 Tabel 5.18 Rekapan Rekomendasi............................................................................ 102 Tabel 5.19. Klasifikasi Dampak Manajemen Risiko BEI ......................................... 103 Tabel 5.20. Klasifikasi likelihood Manajemen Risiko BEI ...................................... 104 Tabel 5.21 Risk Matrix.............................................................................................. 104 Tabel 5.22 Risk Assessment....................................................................................... 104 Tabel 5.23 Validasi Hasil Rekomendasi ................................................................... 108 Tabel 5.24 Supplier Management ............................................................................. 113 Tabel 5.25 Capacity Management ............................................................................ 114 Tabel 5.26 Incident Management.............................................................................. 114 Tabel 6.1 Usulan Rekomendasi................................................................................. 117 Tabel 9.1. Sistem score ............................................................................................. 132 Tabel 9.2. Kategori hasil evaluasi ............................................................................. 132

xiii



1

BAB I

PENDAHULUAN 1.1

Latar Belakang Dalam beberapa tahun terakhir industri pasar modal semakin berkembang,

perkembangan industri pasar modal ini dapat dilihat dari volume perdagangan yang semakin meningkat. Hal ini tentunya menuntut adanya layanan yang semakin baik terutama dari PT Bursa Efek Indonesia (BEI) selaku fasilitator perdagangan saham dan surat utang. Guna menunjang kegiatan perdagangan dengan volume perdagangan yang tinggi ini, terutama pada saat awal sesi perdagangan dan pada akhir sesi perdagangan, diperlukan adanya fasilitas perdagangan yang andal. Hal ini mutlak dibutuhkan karena selain volume perdagangan yang semakin meningkat, perdagangan saham juga harus dilakukan secara real time. Dalam menyediakan fasilitas perdagangan yang andal tentunya dibutuhkan adanya peranan teknologi informasi (TI) yang baik. Pada saat ini kegiatan perdagangan sangat tergantung pada ketersediaan TI dalam operasional dan pengembangannya, hal ini dikarenakan pada saat ini semua kegiatan perdagangan dibantu oleh sistem perdagangan yang dinamakan “Jakarta Automated Trading” System (JATS). Pada sistem JATS menyediakan fasilitas bagi investor untuk melakukan perdagangan dari jarak jauh (remote trading) sehingga investor tidak perlu lagi datang ke lantai bursa (floor trading) untuk membeli atau menjual saham seperti jaman dahulu, tetapi saat ini investor bisa melakukan kegiatan jual beli saham dari kantor Anggota Bursa (broker).

1



2

Gambar 1.1 Remote Trading

Mengingat begitu vitalnya peranan TI di PT BEI maka sistem TI yang terdapat di PT BEI harus mempunyai ketahanan yang baik (realible), kapasitas yang besar dan dan performa yang tinggi karena perdagangan dilakukan secara real time. Sistem TI yang ada dituntut untuk mempunyai availability yang tinggi sehingga kegiatan perdagangan dapat terus berlangsung. Adanya down time sistem TI walaupun hanya sebentar akan menimbulkan kerugian yang besar bagi pelaku bisnis di pasar modal. Untuk mewujudkan ketersediaan yang tinggi, tentunya sistem TI tersebut harus didukung dengan adanya adanya infrastruktur yang realible, aplikasi TI yang handal, personil TI yang memadai dan adanya tata kelola TI yang baik guna memberikan arahan dalam mengelola operasional dan pengembangan TI. Jika merujuk pada matrik Richard Nolan dan F. Warren McFarlan yang dapat dilihat dalam buku “Corporate Information Strategy and Management” (linda applegate, 2009), peran TI di PT BEI pada saat ini sudah dapat diketegorisasikan dalam factory mode. Hal ini tentunya berbeda dengan kondisi



3

pada akhir tahun 1990-an, dimana peranan TI masih sebagai support yang berfungsi mendukung kegiatan perkantoran saja, sedangkan kegiatan perdagangan masih dilakukan secara manual.

Gambar 1.2 IT Strategic Impact Grid (APPLEGATE, 2009)

Semakin meningkatnya peranan TI telah disadari oleh management PT BEI, oleh karena itu sejak tahun 2007 pimpinan tertinggi TI adalah sorang direktur, sejajar dengan pimpinan core bisnis di PT BEI. TI berada dibawah Direktur Teknologi Informasi dan Manajemen Risiko (TMR), yang dijabat oleh Bapak Adikin Basirun. Direktorat TMR terdiri dari 3 Divisi, yaitu: Divisi Operasi Teknologi Informasi, Divisi Pengembangan Teknologi Informasi dan Divisi Manajemen Risiko. Berikut ini akan dijabarkan secara singkat mengenai tugas dan fungsi dari ketiga Divisi tersebut. 1. Divisi Operasi Teknologi Informasi (OTI) Mempunyai tugas untuk menjalankan operasional TI dan menjaga ketersediaan sistem TI. 2. Divisi Pengembangan Teknologi Informasi (PTI) Mempunyai tugas untuk melakukan pengembangan sistem TI dan manajemen proyek. 3. Divisi Manajemen Risiko (MRI)



4

Mempunyai tugas untuk menyusun profil risiko TI, monitoring risiko dan pengembangan tata kelola TI. Sejalan dengan visi dan misi perusahaan untuk menerapkan good governance, pada direktorat TMR juga telah menerapkan IT Governance untuk menjaga keselarasan antara tujuan TI dengan tujuan bisnis menjaga kualitas pelayanan yang diberikan kepada core bisnis. Tata kelola yang diterapkan untuk operasional di direktorat TMR telah coba untuk mengadopsi best practice yang terdapat pada Information Technology Infrastructure Library (ITIL) versi 3 dan Control Objectif for Information and Related Technology (Cobit) versi 4.1. Beberapa prosedur yang telah diterapkan adalah: 1. Request Management 2. Incident Management 3. Problem Management 4. Change Management 5. Release Management 6. Configuration Management 7. Capacity Management 8. Pemeliharaan Perangkat Adanya tata kelola TI yang baik sangat dibutuhkan oleh PT BEI dalam menyediakan fasilitas perdagangan dan menjaga availability sistem selama proses perdagangan berlangsung. Oleh karena itu, PT BEI pada berusaha untuk melakukan penyempurnaan tata kelola dan secara rutin melakukan assessment guna mengatahui tingkat tata kelola yang ada pada saat ini. Hal ini dilakukan untuk meminimalkan downtime dan meningkatkan layanan kepada pelanggan agar kepuasan dan kepercayaan dari pelanggan terus terjaga sehingga pada akhirnya diharapkan volume perdagangan dapat terus meningkat.



5

GAMBAR 1.3 Maturity Level Cobit pada tahun 2010 dan tahun 2011

1.2

Perumusan Masalah Pada tahun 2013, pihak management dari PT BEI telah mencanangkan

target untuk meningkatkan tingkat kemapanan (maturity level) tata kelola berdasarkan framework Cobit, terutama untuk domain Delivery dan Service (DS). Pada domain tersebut diharapkan 75% dari 13 proses kerja yang tersedia mempunyai tingkat kemapanan dengan nilai 4. Peningkatan tingkat kemapanan lebih diutamakan pada domain DS karena: 1. Pada saat ini semua kegiatan perdagangan saham sudah dilakukan dengan bantuan TI sehingga peranan TI sangat kritikal. 2. Peranan TI di PT BEI telah berada pada ketegorisasi factory mode berdasarkan strategic impact grid (linda applegate, 2009). Oleh karena itu dituntut adanya sistem TI yang availability yang tinggi dan performa yang baik. 3. Adanya downtime dapat menyebabkan kerugian yang besar bagi perusahaan pada khususnya dan industri pasar modal pada umumnya.



6

4. Service level agreement (SLA) yang dijanjikan kepada stakeholder mencapai 99.75%. 5. Adanya gangguan pada sistem perdagangan pada akhir bulan Agustus 2012. 6. Dibutuhkan adanya suatu tata kelola yang baik untuk mengelola operasional TI sehingga dapat memenuhi kebutuhan bisnis. Sedangkan untuk domain yang lain yaitu domain Plan and Organise (PO), domain Acquire and Implement (AI) dan domain Monitor and evaluate (ME), akan ditingkatkan kemapanannya setelah domain DS. Selanjutnya akan disampaikan data mengenai tinggkat kemapanan tata kelola DI PT BEI berdasarkan hasil assessment yang telah dilakukan oleh salah satu konsultan untuk 13 proses kerja pada domain DS pada tahun 2011. Data secara lengkap dapat dilihat pada tabel 1.1. Tabel 1.1 Maturity Level Proses pada Domain DS pada Tahun 2011

Maturity level No

Proses kerja

2011

1 DS1-Define and manage service levels.

3.83

2 DS2-Manage third-party services.

3.17

3 DS3-Manage performance and capacity.

3.33

4 DS4-Ensure continuous service.

3.5

5 DS5-Ensure systems security.

3.17

6 DS6-Identify and allocate costs.

3.67

7 DS7-Educate and train users.

3

8 DS8-Manage service desk and incidents.

3.83

9 DS9-Manage the configuration.

3.17

10 DS10-Manage problems.

3.17

11 DS11-Manage data.

3.17

12 DS12-Manage the physical environment.

3.33

13 DS13-Manage operations.

3.67



7

Jika dilihat pada tabel diatas, dapat dilihat gap antara tingkat kemapanan untuk 13 proses kerja pada domain DS di tahun 2011 dengan tingkat kemapanan yang ditargetkan oleh pihak management pada tahun 2013. Berdasarkan analisis yang dilakukan dalam keseharian di Divisi OTI dan PTI, dapat diketahui bahwa adanya gap tingkat kemapanan disebabkan oleh berapa hal, antara lain: 

belum

dilakukannya

evaluasi

rutin

pelaksanaan

prosedur

operasional, 

kurangnya sosialisasi



kebutuhan pelatihan untuk peningkatan pengetahuan.

Detail perkiraan penyebab adanya gap tingkat kemapanan dapat dilihat pada fishbone diagram berikut ini:



8

Prosedur

Awareness and Communication

Adanya prosedur yang belum disertai goal dan measurement Kurangya sosialisasi dan awareness Adanya prosedur yang kurang lengkap

Belum dilakukannya evaluasi rutin

Adanya gap tingkat kematangan eksisting dengan target tingkat kematangan dari Management

Kurangnya training

Belum semua aktivitas TI di dukung oleh aplikasi

Masih kurangnya skill dan ekspertise yang dimiliki Kurangnya pengalaman

Personil TI

Belum tersedianya user guide

Tools and Automation

Gambar 1.4 Fishbone diagram penyebab adanya gap tingkat kemapanan

Berdasarkan fishbone diagram di atas, dapat diketehui hal-hal yang jadi penyebab adanya gap tingkat kemapanan. Untuk itu pada tugas akhir ini akan dicoba memberikan rekomendasi perbaikan sehingga tingkat kemapanan tata kelola dapat mencapai nilai tingkap kemapanan yang diinginkan oleh pihak management. Sesuai dengan penjelasan yang telah disampaikan pada bagian latar belakang, dapat diketahui bahwa masih terdapat beberapa hal yang dapat disempurnakan sehingga tingkat kemapanan tata kelola dapat mencapai nilai yang diinginkan oleh pihak management. Oleh karena itu pada penelitian ini akan diangkat permasalahan mengenai “Sejauh mana tingkat kemapanan tata kelola TI untuk domain DS pada PT BEI menurut cobit 4.1 dan bagaimana langkah-langkah



9

yang applicable (selanjutnya akan disebut sebagai ”program”) untuk mencapai tingkat kemapanan yang dijadikan target oleh PT BEI untuk meningkatkan pelayanan kepada pelanggan sehingga dapat memberkan service level yang baik?” 1.3

Tujuan Penelitian Tujuan yang ingin dicapai dalam penelitian ini adalah: 1. Mengetahui sejauh mana tingkat kemapanan tata kelola TI pada domain DS pada PT BEI. 2. Mengidentifikasi prosedur yang perlu disempurnakan mengacu pada tingkat kemapanan Cobit dan ITIL versi 3. 3. Memberikan rekomendasi perbaikan yang bisa dilakukan untuk memingkatkan tingkat kemapanan mencapai level 4 untuk 75% proses pada domain DS. 4. Membuat program jangka waktu pendek berdasarkan rekomendasi perbaikan pada point 3. Program yang dibuat akan disesuaikan dengan jangka waktu pengerjaannya.

1.4

Manfaat Penelitian Manfaat yang akan didapatkkan dari penelitian ini adalah: 1. Manfaat akademis: dengan penelitian ini, diharapkkan akan menjadi referensi dalam melakukan

pengukuran dan peningkatan tingkat

kemapanan tata kelola TI pada suatu perusahaan financial khususnya Pasar Modal. 2. Manfaat Praktis: hasil penelitian ini diharapkan dapat memberikan sumbangan pemikiran bagi management untuk mengetahui sejauh mana tingkat kemapanan eksisting dan mengetahui program yang dapat dilakukan untuk mencapai tingkat kemapanan yang diharapkan oleh PT BEI.



10

1.5

Ruang Lingkup Penelitian Ruang lingkup dalam penelitian ini adalah sebagai berikut: 1. Penelitian ini dilakukan pada untuk mengetahui sejauh mana tingkat kemapanan tata kelola TI pada domain DS di PT BEI. Data yang dikumpulkan

diperoleh

dari

data

kualitatif,

data

kuantitatif,

mempelajari laporan bulanan, observasi dan wawancara dengan pihakpihak yang terkait dengan pembuatan dan pengelolaan prosedur. Penelitian ini akan mengukur tingkat kemapanan menggunakan framework Cobit versi 4.1 2. Pada penelitian ini, perbaikan prosedur akan disesuaikan dengan framework Cobit versi 4.1 dan standard ITIL versi 3 3. Pada penelitian ini akan dicoba menerapkan program yang dapat diimplementasi dalam jangka pendek (kurang lebih 2 bulan). Program ini diharapkan dapat meningkatkan tingkat kemapanan yang ada pada saat ini sehingga mencapai target PT BEI yaitu nilai 4 untuk 75% proses yang terdapat di domain DS. 4. Penilaian tingkat kemapanan yang dilakukan berdasarkan nilai maturity attribute cobit. Dalam hal ini bobot untuk setiap attribute dianggap setara. Rekomendasi akan disusun sehingga nilai pada setiap attribute mencapai nilai 4.



2

BAB II

LANDASAN TEORI

2.1

Tata Kelola Teknologi Informasi Terdapat beberapa definisi mengenai Tata kelola teknologi informasi,

menurut Information Technology Governance Institute (ITGI, 2007), “Tata Kelola TI adalah tanggung jawab dari board of Directors (BOD) dan eksekutif management. Tata Kelola TI merupakan bagian dari tata kelola perusahaan dan terdiri dari kepemimpinan, struktur organisasi dan proses yang memastikan bahwa organisasi TI mendukung dan memperluas strategi organisasi dan tujuan organisasi”. Sedangkan menurut Van Grembergen (Van Grembergen, 2004), definisi tata kelola TI adalah “IT Governance is the organizational capacity exercised by the Board,Executive management and IT management to control the formulaton and implementation of IT strategy and in this way ensure the fusion of business and IT”. Sedangkan menurut Petersen (Petersen, 2001), “IT Governance is the system by which an organization’s IT portfolio is directed and controlled. IT Governance describes the distribution of IT decision making rights and responsabilities among different stakeholders in the organization, and the rules and procedures for making and montoring decisions on strategic IT resources”. Sedangkan menurut Weill & Ross (Weill & Ross, 2004), definisi tata kelola TI adalah “Specifying the decision right and accountability framework to encourage desireable beavior in the use of IT”. Sedangkan menurut Luftman (Luftman, 1993), “IT Governance is the degree to which the authority for making IT decisions is defined, and shared among management, and the process managers in both IT and business organizations apply in setting IT priorities and allocation of IT resources”.

11



12

Berdasarkan definisi-definisi yang telah disebutkan di atas, dapat dilihat bahwa terdapat beberapa persamaan unsur pada tata kelola IT. Tabel 2.1 Unsur-Unsur Tata Kelola TI

ITGI

Van

Petersen

Weill &

Grembergen Leadership Decision

√ making

Luftman

Ross

√

√

√

√

√

structure Process

√

Resource management IT use for organization

√

√

√

√

√

√

√

√

objective Mengacu pada tabel 2.1, menunjukkan bahwa tata kelola TI merupakan bagian penting dari tanggung jawab BoD dan eksekutif management. Selain itu tata kelola TI merupakan bagian yang dari tata kelola perusahaan (corporate governance) serta mensyaratkan adanya kepemimpinan, struktur organisasi dan proses yang memastikan bahwa organisasi TI mendukung dan memperluas strategi organisasi serta tujuan organisasi. Sejalan dengan definisi di atas, menurut ITGI terdapat lima fokus utama pada tata kelola TI yang seluruhnya didorong oleh Stakeholder Value. Tiga focus ang pertama merupakan faktor pendorong yaitu strategic alignment, resource management dan performance measurement. Sedangkan 2 fokus yang lain adalah hasil yang diinginkan yaitu value delivery dan risk management.



13

Gambar 2.1 Fokus Utama IT Governance

Penjelasan untuk masing-masing fokus akan dibahas secara lebih detail pada bagian dibawah ini: 1.

Strategic Alignment bertujuan untuk memastikan hubungan rencana

bisnis dan Ti dan menselaraskan operasi TI dengan operasi perusahaan. Hal ini dapat dicapai jika TI dapat memberikan added value pada produk dan services, memberikan alternative-alternatif solusi dalam persaingan bisnis, efisiensi biaya operasional,

meningkatkan kecepatan distribusi informasi. Keselarasan yang

inigin dibangun dimulai dari keselarasan arsitektur TI dengan visi dan misi perusahaan sampai dengan keselerasan operasional TI dengan operasional bisnis. 2.

Value Delivery mempunyai fokus pada aktivitas yang memberikan

nilai kepada bisnis dan memastikan bahwa investasi TI yang telah dilakukan dapat memberikan keuntungan kepada perusahaan baik secara langsung maupun tidak langsung serta berkonsentrasi pada optimalisasi biaya yang dikeluarkan perusahaan untuk operasional. 3.

Risk Management mempuyai fokus pada peningkatan kesadaran dan

pemahaman risiko, identifikasi risiko dan menanamkan tanggung jawab manjemen risiko ke dalam organisasi. Hal ini dimaksudkan untuk menamkan kesadaran kepada senior management mengenai adanya risiko yang harus dihadapi, risiko-risiko tersebut harus diidentifikasi, melakukan mitigasi risiko tersebut, apakah risiko tersebut akan di accept dan dicarikan alternatif solusi,



14

apakah di ignore karena dirasa tidak terlalu penting ataukah di transfer kepada pihak lain untuk mengatasi risiko tersebut. Selain itu, risiko-risiko tersebut harus selalu di monitoring dan di lakukan evaluasi berkala secara rutin. 4.

Resource Management berfokus pada pemilihan investasi yang

optimal dan mengelola sumber daya TI (Sumber daya manusia, aplikasi, infrastruktur dan informasi) dengan tepat. Isu utama dalam pengelolaan sumber daya adalah peningkatan pengetahuan sumber daya manusia (knowledge) dan penyediaan infrastruktur. 5.

Performance Measurement mempunyai fokus pada tracking dan

monitoring implementasi dari strategi yang telah direncakan, penyelesaian proyek, penggunaan sumber daya TI, dan kinerja layanan TI secara keseluruhan. 2.2

Cobit versi 4.1 COBIT adalah sekumpulan dokumentasi best practices untuk IT

Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalahmasalah teknis (Sasongko, 2009). COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, risiko IT dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya, 2010). Pada kerangka kerja Cobit versi 4.1 (ITGI, 2007) dibagi menjadi 4 domain dan dari 4 domain tersebut akan dibagi menjadi 34 proses kerja. Berikut ini akan dijelaskan mengenai 4 domain pada Cobit dan disebutkan 34 proses kerja yang ada 4 domain tersebut. 1. Plan and Organise (PO), pada domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI

dengan strategi

perusahaan, mencakup masalah strategi, taktik dan identifikasi cara terbaik

IT

untuk

memberikan

kontribusi

maksimal

terhadap

pencapaian tujuan bisnis organisasi. Proses kerja yang terdapat pada domain PO adalah:



15

a. PO1 Define a strategic IT plan.

b. PO2 Define the information architecture. c. PO3 Determine technological direction. d. PO4

Define

relationships.

the

IT

processes,

organisation

and

e. PO5 Manage the IT investment.

f. PO6 Communicate management aims and direction. g. PO7 Manage IT human resources h. PO8 Manage quality.

i. PO9 Asses and manage IT risks. j. PO10 Manage Projects.

2. Acquire and Implement (AI), Pada domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi, juga meliputi perubahan dan perawatan yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga. Proses kerja yang terdapat pada domain AI adalah: a. AI1 Identity automated solutions. b. AI2 Acquire and maintain application software. c. AI3 Acquire and maintain technology infrastructure. d. AI4 Enable operation and use. e. AI5 Procure IT resources. f. AI6 Manage changes. g. AI7 Install and accredit solutions and changes. 3. Deliver and Support (DS), pada domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan. Proses kerja yang terdapat pada domain DS adalah: a. DS1 Define and manage service levels.



16

b. DS2 Manage third-party services. c. DS3 Manage performance and capacity. d. DS4 Ensure continuous service. e. DS5 Ensure systems security. f. DS6 Identify and allocate costs. g. DS7 Educate and train users. h. DS8 Manage service desk and incidents. i. DS9 Manage the configuration. j. DS10 Manage problems. k. DS11 Manage data. l. DS12 Manage the physical environment. m. DS13 Manage operations. 4. Monitor and Evaluate (ME), pada domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan. Proses kerja yang terdapat pada domain ME adalah: a. ME1 Monitor and evaluate IT performance. b. ME2 Monitor and evaluate internal control. c. ME3 Ensure regulatory compliance. d. ME4 Provide IT governance. Gambaran kerangka kerja Cobit versi 4.1 secara lengkap dapat dilihat pada gambar dibawah ini:



17

Gambar 2.2 Kerangka kerja COBIT 4.1

2.3

Cobit Maturity Model Cobit menyediakan parameter untuk melakukan penilaian sebaik apa

pengelolaan IT pada suatu organisasi dengan menggunakan maturity models. Cobit mempunyai model kematangan (maturity models) untuk mengontrol prosesproses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya. Pada Cobit maturity model mempunyai skala 6 level penilaian yang disebut maturity level, dari skala non-existent sampai dengan optimised (dari 0 sampai 5). Berikut ini penjelasan singkat untuk masing-masing level 1. Level 0 (Non-existent), pada level ini perusahaan belum melakukan identifikasi atas proses TI. Perusahaan beranggapan hal tersebut merupakan hal yang tidak perlu dipertimbangkan. 2. Level 1 (Initial/Adhoc), pada level ini perusahaan telah menyadari bahwa terdapat beberapa proses TI yang telah berjalan. Proses-proses TI tersebut berjalan tetapi dilakukan tanpa standar prosedur operasional dan belum didokumentasikan. 3. Level 2 (Repeatable but intuitive), pada level ini proses TI yang berjalan belum seluruhnya memiliki standar prosedur operasional. Selain itu, proses sosialisasi atas standar prosedur tersebut belum



18

seluruhnya dilakukan dan dikomunikasikan secara formal kepada personil terkait. 4. Level 3 (Defined process), pada level ini perusahaan telah memiliki standar prosedur operasional dan terdokumentasi dengan baik serta telah melakukan sosialisasi secara formal atas seluruh proses TI yang berjalan. 5. Level 4 (Managed and Measurable), pada level ini perusahaan melakukan pengawasan dan memastikan proses telah berjalan sesuai prosedur dan kebijakan yang berlaku. Selain itu, perusahaan telah melakukan penilaian dalam memastikan proses yang ada, telah berjalan secara efektif. Penerapan proses yang terautomasi merupakan salah satu pertimbangan penilaian pada level ini. 6. Level 5 (Optimized), pada level ini, proses-proses TI yang berjalan telah mencapai tingkatan good practice. Hal ini dapat dinilai dari keselarasan proses-proses TI dengan perubahan atau perkembangan TI serta bisnis perusahaan. Seluruh proses TI telah terintegrasi dan memiliki proses yang telah terautomasi.

Gambar 2.3 Matury Model Cobit

Pada penelitian ini akan menggunakan Cobit Maturity Model sebagai acuan dalam melakukan pengukuran tingkat kemapanan tata kelola yang ada di PT BEI. Salah satu model pengukuran tingkat kemapanan yang diperkenalkan oleh ITGI yaitu dengan mengukur tingkat kemapanan dari atribut-atributnya (disebut maturity attribute). Pengukuran yang dilakukan menggunakan maturity



19

attribute karena maturity attribute memuat daftar karakteristik bagaimana proses TI dikelola dan menjelaskan bagaimana mereka berevolusi dari non-existent sampai dengan optimised process. Maturity attribute ini dapat digunakan untuk assessment dengan lebih komprehensif, analisis kesenjangan yang ada dan perencanaan perbaikan (ITGI, 2007). Assessment dengan maturity attribute dipilih karena sesuai dengan kebutuhan dari PT BEI dengan alasan sebagai berikut: 1. Penilaian dapat dilakukan dengan lebih komprehensif, meliputi cara komukasi antara TI dengan user, prosedur yang telah diterapkan, tools yang digunakan, kebutuhan personil TI serta pembagian tanggung jawab akan dinilai dan diberikan rekomendasi untuk menanggulangi kekurangannya (gap analisys) 2. Adanya acuan yang jelas dalam penilaian maturity attribute sesuai yang tertera pada tabel 2.2 sehingga mengurangi miss interpersepsi dan lebih mudah mengkomunikasikan dengan pihak-pihak yang mungkin masih awam dengan penilaian maturity berdasarkan Cobit 4.1 Berikut ini merupakan atribut yang digunakan dalam melakukan assessment tingkat kemapanan tata kelola: 1. Tingkat kesadaran dan adanya sosialisasi 2. Keberadaan kebijakan, standar dan prosedur 3. Penggunaan alat bantu dan sistem otomasi 4. Ketrampilan dan keahlian pelaksana 5. Kejelasan Tanggung jawab dan akuntabilitas 6. Ditetapkannya target dan pengukuran kinerja Untuk mendapatkan data tingkat kemapanan dari setiap atribut di atas diperoleh dari hasil pemetaan kondisi eksisting dengan ke enam atribut di atas. Jika terdapat hal-hal yang belum jelas akan dilakukan konfirmasi ulang sehingga nilai dari setiap atribut akan lebih valid. Setelah diketahui nilai-nilai dari setiap atribut maka kita dapat melakukan perhitungan nilai kemapanan untuk suatu proses, dalam penelitian ini proses yang akan diteliti hanya mencakup prosesproses pada domain DS. Nilai kemapanan (maturity level – ML) proses didapat



20

dari hasil rata-rata dari setiap nilai atribut, dalam penelitian ini pembobotan setiap atribut disamakan. Berikut ini merupakan acuan dalam memberikan nilai untuk setiap atribut, nilai paling rendah adalah 1 dan yang paling tinggi adalah nilai 5, setiap nilai mempunyai kriteria penilaian tersendiri yang dapat dilihat pada tabel 2.2:



21

Tabel 2.2 Maturity Attribute ML 1

2

Awareness and Communication (AC) Recognition of the need for the process is emerging. There is sporadic communication of the issues.

Policies, Plans and Procedures (PPP) There are ad hocapproaches to processes and practices. The process and policies are undefined.

Tools and Automation (TA) Some tools may exist; usage is based on standard desktop tools. There is no planned approach to the tool usage.

Skills and Expertise (SE) Skill required for the process are not identified. A training plan does not exist and no formal training occurs.

There is awareness of the need to act. Management communicates the overall issues.

Similar and common processes emerge, but are largely intuitive because of individual expertise. Some aspects of the process are repeatable because of individual expertise, and some documentation and informal understanding of policy and procedures may exist.

Common approaches to use of tools exist but are based on solutions developed by key individuals. Vendor tools may have been acquired, but are probably not applied correctly, and may even be shelfware.

Minimum skill requirements are identified for critical areas. Training is provided in response to needs, rather than on the basis of an agreed plan, and informal training on the job occurs.

Responsibility and Accountability (RA) There is no definition of accountability and responsibility. People take ownership of issues based on their own initiative on a reactive basis. An individual assumes his/her responsibility and is usually held accountable, even if this is not formally agreed. There is confusion about responsibility when problems occur, and a culture of blame trends to exist.



Goal Setting and Measurement (GM) Goals are not clear and no measurement takes place.

Some goal setting occurs; some financial measures are established but are known only by senior management. There is inconsistent monitoring in isolated areas.

22

Tabel 2.3 Maturity Attribute (lanjutan) ML 3

4

Awareness and Communication (AC) There is understanding of the need to act. Management is more formal and structured in its communication.

There is understanding of the full requirements. Mature communication techniques are applied and standard communication tools are in use.

Policies, Plans and Procedures (PPP)

Tools and Automation (TA)

Skills and Expertise (SE)

Responsibility and Accountability (RA)

Goal Setting and Measurement (GM)

Usage of good practices emerges. The process, policies and procedures are defined and documented for all key activities.

A plan has been defined for use and standardisation of tools to automate the process. Tools are being used for their basic purposes, but may not all be in accordance with the agreed plan, and may not be integrated with one another.

Skill requirements are defined and documented for all areas. A formal training plan has been developed, but formal training is still based on individual initiatives.

Process responsibility and accountability are defined and process owners have been identified. The process owner is unlikely to have the full authority to exercise the responsibilities.

The process is sound and complete; internal best practices are applied. All aspects of the process are documented and repeatable. Policies have been approved and signed off on by management. Standards for developing and maintaining the processes and procedures are adopted and followed.

Tools are implemented according to a standardised plan, and some have been integrated with other related tools. Tools are being used in main areas to automate management of the process and monitor critical activities and controls.

Skill requirements are routinely updated for all areas, proficiency is ensured for all critical areas, and certification is encouraged. Mature training techniques are applied according to the training plan, and knowledge sharing is encouraged. All internal domain experts are involved, and the effectiveness of the training plan is assessed.

Process responsibility and accountability are accepted and working in a way that enables a process owner to fully discharge his/her responsibilities. A reward culture is in place that motivates positive action.

Some effectiveness goals and measures are set, but are not communicated, and there is a clear link to business goals. Measurement processes emerge, but are not consistently applied. IT balanced scorecard ideas are being adopted, as is occasional intuitive application of root cause analysis. Efficiency and effectiveness are measured and communicated and linked to business goals and the IT strategic plan. The IT balanced scorecard is implemented in some areas with exceptions noted by management and root cause analysis is being standardised. Continuous improvement is emerging.



23


Awareness and Communication (AC) There is advanced, forward-looking understanding of requirements. Proactive communication of issues based on trends exists, mature communication techniques are applied, and integrated communication tools are in use.

Policies, Plans and Procedures (PPP) External best practices and standards are applied. Process documentation is evolved to automated workflows. Processess, policies and procedures are standardised and integrated to enable end-to-end management and improvement.





Standardised tools sets are used across the enterprise. Tools are fully integrated with other related tools to enable end-to-end support of the processes. Tools are being used to support improvement of the process and automatically detect control exceptions.

The organisation formally encourages continuous improvement of skills, based on clearly defined personal and organisational goals. Training and education support external best practices and use of leading-edge concepts and techniques. Knowledge sharing is an enterprise culture, and knowledge-based systems are being deployed. External experts and industry leaders are used for guidance.

Process owners are empowered to make decisions and take action. The acceptance of responsibility has been cascaded down throughout the organisation in a consistent fashion.

There is an integrated performance measurement performance measurement system linking IT performance to business goals by global application of the IT balanced scorecard. Exceptions are globally and consistently noted by management and root cause analysis is applied. Continuous improvement is a way of life.



24

2.4

ITIL versi 3 ITIL adalah suatu kerangka kerja umum yang menggambarkan Best

Practice layanan manajemen TI. ITIL menyediakan kerangka kerja bagi tatakelola TI, serta wrapping layanan. ITIL memfokuskan diri pada pengukuran terus menerus dan perbaikan kualitas layanan TI yang disampaikan, baik dari perspektif bisnis maupun pelanggan. ITIL banyak diterapkan karena mempunyai beberapa manfaat bagi perusahaan, antara lain: 1. Peningkatan kepuasan bagi pengguna dengan layanan IT 2. Ketersediaan layanan yang meningkat, hal ini dapat berdampak pada keuntungan usaha 3. Penghematan keuangan dari berkurangnya rework, kehilangan waktu, pengelolaan sumber daya manajemen yang lebih baik karena bisa langsung menggunakan best practice yang terdapat dalam kerangka kerja ITIL. 4.

Pengambilan keputusan yang lebih baik

5. Meminimalkan risiko ITIL versi pertama diterbitkan antara tahun 1989 dan 1995 oleh Her Majesty's Stationery Office (HMSO) di Inggris atas nama Kantor Pemerintah Perdagangan (Office of Government Commerce). Penggunaan ITIL pada awalnya masih terbatas di negara Inggris dan Belanda. Sampai saat ini, ITIL versi terakhir adalah ITIL versi 3 yang diterbitkan pada 30 Juni 2007. Pada ITIL versi 3, lebih ditekankan pada pengelolaan lifecycle dari layanan yang disediakan oleh TI. Pada lifecycle tersebut dibagi menjadi 5 bagian, yaitu: 1. Service Strategy, mempunyai tujuan untuk menunjukkan organisasi bagaimana cara untuk mengubah manajemen pelayanan (service management) menjadi aset strategis dan untuk kemudian berpikir dan bertindak secara strategis. Service strategy digunakan untuk membantu menjawab pertanyaan sebagai berikut, layanan apa yang harus ditawarkan dan kepada siapa, apa yang bisa membedakan layanan kita dari yang lain, bagaimana sumber daya harus dialokasikan dan



25

bagaimana kinerja dari layanan akan diukur. Proses-proses yang dicakup dalam Service Strategy antara lain: a. Service Portfolio Management b. Financial Management c. Demand Management 2. Service Design, dimulai dengan satu set kebutuhan bisnis dan berakhir dengan pengembangan solusi layanan yang dirancang untuk memenuhi kebutuhan bisnis tersebut serta untuk menghasilkan Service Design Package (SDP) untuk serah terima ke Service Transition. Service Design memberikan panduan kepada organisasi TI untuk dapat secara sistematis dan best practice mendesain dan membangun layanan TI. Service Design berisi prinsip-prinsip dan metode-metode desain untuk mengkonversi tujuan-tujuan strategis organisasi TI dan bisnis menjadi portofolio/koleksi layanan TI serta aset-aset layanan. Ruang lingkup Service Design tidak melulu hanya untuk mendesain layanan TI baru, namun juga proses-proses perubahan maupun peningkatan kualitas layanan, kontinyuitas layanan maupun kinerja dari layanan. Prosesproses yang dicakup dalam Service Design yaitu: a. Service Catalog Management b. Service Level Management c. Supplier Management d. Capacity Management e. Availability Management f. IT Service Continuity Management g. Information Security Management 3. Service Transition, menyediakan panduan kepada organisasi TI mengembangkan dan mengimplementasikan design yang telah dibuat pada Service Design ke area produksi (operasional). Tahapan lifecycle ini memberikan gambaran bagaimana sebuah kebutuhan yang didefinisikan dalam Service Strategy kemudian dibentuk dalam Service Design untuk selanjutnya secara efektif direalisasikan dalam Service Operation. Proses-proses yang dicakup dalam Service Transition yaitu:



26

a. Transition Planning and Support b. Change Management c. Service Asset & Configuration Management d. Release & Deployment Management e. Service Validation f. Evaluation g. Knowledge Management 4. Service Operation, mempunyai tujuan memberikan tingkat layanan (service level) yang telah disepakati kepada pengguna dan pelanggan, selain itu untuk mengelola aplikasi, teknologi dan infrastruktur yang mendukung pengiriman layanan tersebut. Proses-proses yang dicakup dalam Service Operation yaitu: a. Event Management b. Incident Management c. Problem Management d. Request Fulfillment e. Access Management 5. Continual Service Improvement (CSI), berkaitan dengan bagaimana cara mempertahankan value bagi pelanggan melalui evaluasi yang berkesinambungan dan peningkatan kualitas layanan dan kematangan keseluruhan lifescyle dari IT service management (ITSM). CSI mengkombinasikan berbagai prinsip dan metode dari manajemen kualitas, salah satunya adalah Plan-Do-Check-Act (PDCA) atau yang dikenal sebagi Deming Quality Cycle



27

Gambar 2.4 Kerangka kerja ITIL versi 3

Pada penelitian ini kerangka kerja ITIL versi 3 akan digunakan sebagai acuan dalam melakukan perbaikan prosedur kerja yang ada di PT BEI. 2.5

Manajemen Risiko Dalam melakukan pembahasan menengai manajemen risiko, perlu

diketahui terlebih dahulu mengenai definisi dari risiko itu sendiri. Terdapat beberapa definisai dari risiko, menurut kamus besar bahasa Indonesia, kata risiko mempunyai definisi sebagai berikut “akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan. Menurut Australian Standards/New Zealand Standards 4360:2004

(AS/NZS, 2004),

definisi dari kata risiko adalah “peluang terjadinya sesuatu yang akan berdampak dalam pencapaian tujuan. Dalam hal ini risiko diukur dari besaran konsekuensi dan kemungkinan kejadiannya. Menurut kedua pengertian di atas, dapat diketahui bahwa risiko merupakan akibat yang kurang menyenangkan yang dapat berdampak pada pencapaian tujuan, risiko itu sendiri diukur dari dampak yang ditimbulkannya dan kemungkinan terjadinya risiko tersebut. Setelah mengetahui definisi dari risiko, selanjutnya akan dibahas mengenai beberapa definisi dari manajemen risiko. Menurut Australian Standards/New Zealand Standards 4360:2004, definisi dari manajemen risiko adalah suatu proses yang logis dan sistematis dalam mengidentifikasi, menganalisa, mengevaluasi, mengendalikan, mengawasi, dan mengkomunikasikan risiko yang berhubungan



28

dengan segala aktivitas, fungsi atau proses dengan tujuan perusahaan mampu meminimasi kerugian dan memaksimumkan kesempatan. Implementasi dari manajemen risiko ini membantu perusahaan dalam mengidentifikasi risiko sejak awal dan membantu membuat keputusan untuk mengatasi risiko tersebut. Sedangkan menurut

NIST - National Institute of Standard and

Technology (Stoneburner, 2004) definisi dari manajemen risiko adalah proses dari mengidentifikasi, mengontrol dan meringankan sistem informasi terkait risiko yang melingkupi

pengkajian risiko, analisa

manfaat

biaya, pemilihan,

implementasi, pengetesan dan evaluasi keamanan. Berdasarkan definisi di atas, maka dapat diambil kesimpulan bahwa manajemen risiko merupakan sebuah proses di dalam melakukan identifikasi risiko, kemudian menganalisis risiko, serta melakukan pemilihan langkah-langkah untuk meminimalisir risiko tersebut. Selanjutnya akan disampaikan beberapa framework manajemen risiko. 2.6

Framework NIST NIST (National Institute of Standard and Technology ) mengeluarkan

rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System (Stoneburner, 2004). Terdapat tiga proses dalam manajemen risiko

Gambar 2.5 Framework Risk manajemen NIST 800-30



29

Berikut ini merupakan penjelasan singkat untuk setiap proses yang terdapat pada framework NIST. 1. Penilaian risiko (risk assessment) merupakan proses yang mencakup identifikasi, evaluasi risiko, dampak risiko, pengukuran nilai risiko dan penyusunan rekomendasinya 2. Mitigasi risiko (risk mitigation) merupakan proses yang penseleksian rekomendasi

yang

telah

assessment,membuat

urutan

saat

risk

implementasi

dan

disampaikan prioritas

pada

mengimplementasi control yang dipilih. 3. Evaluasi risiko (risk evaluation) merupakan proses untuk melakukan evaluasi apakah pendekatan manajemen risiko yang telah diterapkan sudah sesuai atau belum. Dalam evaluasi ini termasuk evaluasi efektifitas control dan harus dilakukan secara terus menerus untuk memperbaiki kinerja manajemen risiko. Penjelasan untuk masing-masing tahapan di atas akan dijelaskan secara lebih detail pada bagian dibawah ini a.

Langkah-langkah dalam penilaian risiko: 1. Mengetahui karakteristik dari sistem TI: hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, arsitektur keamanan sistem, topologi jaringan sistem. 2. Identifikasi Ancaman yang mungkin menyerang kelemahan sistem TI. Sumber ancaman bisa berasal dari alam, manusia dan lingkungan. 3. Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur keamanan, desain, implementasi, dan internal kontrol terhadap sistem sehingga menghasilkan pelanggaran terhadap kebijakan keamanan sistem. 4. Menganalisa kontrol – kontrol yang sudah diimplementasikan atau direncanakan

untuk

diimplementasikan

oleh

organisasi

untuk

mengurangi atau menghilangkan kecenderungan (kemungkinan) dari suatu ancaman menyerang sistem yang vulnerable.



30

5. Penentuan kecenderungan (likelihood) dari kejadian bertujuan untuk memperoleh penilaian terhadap keseluruhan kecenderungan yang mengindikasikan kemungkinan potensi vulnerability diserang oleh lingkungan ancaman yang ada. Di PT BEI, likelihood tersebut dapat dikategorikan menjadi 5 bagian yaitu: sangat tinggi, tinggi, sedang, rendah dan sangat rendah.Detail dari kategori tersebut dapat dilihat pada bab 5, pada bagian risk assessment. 6. Analisa dampak yang didapatkan dari pengukuran dampak yang terjadi ketika ancaman dapat mengeksploitasi vulnerability. Seperti loss of integrity, loss of availability, dan loss of confidentiality. Pengukuran dampak dari risiko TI dapat dilakukan secara kualitatif maupun kuantitatif. Di PT BEI, dampak tersebut dapat dikategorikan menjadi 5 bagian yaitu: sangat tinggi, tinggi, sedang, rendah dan sangat rendah. Detail dari kategori tersebut dapat dilihat pada bab 5, pada bagian risk assessment. 7. Penentuan level risiko. Penentuan level risiko dari Sistem TI yang merupakan pasangan ancaman dan vulnerability dari suatu fungsi ditentukan oleh aspek-aspek berikut ini: 

Kecenderungan

suatu

sumber

ancaman

menyerang

vulnerability dari sistem TI. 

Besaran dampak yang akan terjadi jika sumber ancaman sukses menyerang vulnerability dari sistem TI.



Terpenuhinya perencanaan kontrol keamanan yang ada untuk mengurangi dan menghilangkan risiko.

8. Penyusunan rekomendasi untuk mengurangi risiko dari sistem TI sehingga mencapai level yang dapat diterima. 9. Melakukan dokumentasi hasil identifikasi risiko dalam bentuk laporan.



31

b.

Langkah-langkah dalam mitigasi risiko: 1. Prioritas aksi, berdasarkan tingkat level risiko yang dihasilkan pada tahapan penilaian risiko maka ditentukan prioritas aksi yang akan dilakukan. Keluaran dari tahapan pertama ini adalah urutan prioritas aksi yang dimulai dari tingkat level risiko yang tinggi hingga yang paling rendah. 2. Melakukan evaluasi control yang direkomendasikan. Pada tahapan ini dilakukan evaluasi terhadap rekomendasi control yang dihasilkan pada tahapan penilain risiko, untuk melihat apakah rekomendasi tersebut layak diimplementasikan di dalam organisasi. 3. Analisa cost benefit, tujuannya untuk menggambarkan biaya dan keuntungan jika

mengimplementasikan

atau

tidak

mengimplementasikan control – control tersebut. 4. Pemelihan control, berdasarkan hasil cost benefit analysis, manajemen menentukan kontrol dengan biaya paling efektif untuk mengurangi risiko terhadap misi organisasi. 5. Memberikan tanggung jawab, personil yang sesuai (personil dari dalam atau personil yang dikontrak dari luar) yang memiliki keahlian dan ketrampilan ditugaskan untuk mengimplementasikan pemilihan kontrol yang diidentifikasi, dan bertanggung jawab terhadap yang ditugaskan. 6. Membangun rancangan implementasi keamanan, pada tahapan ini mengembangkan

rancangan

implementasi

control

keamanan

berdasarkan hasil prioritasi aksi, cost benefit analysis dan pembagian tanggung jawab. 7. Mengimplementasikan control, pada tahapan ini akan dilakukan implementasi control-control yang telah dipilih. c.

Langkah-langkah dalam proses evaluasi risiko: Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko

yang diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali



32

untuk

memastikan

keberadaan

risiko

yang

teridentifikasi

maupun

risiko

yang

belum

teridentifikasi. Tabel 2.5 Template Risk Assessment No

Karakteristik sistem TI

Threat

Vulnerability

Likelihood

Impact

Risk Exposure

Rekomendasi

1. 2. 3. Dalam karya akhir ini, risk assessment yang akan dilakukan adalah seabagi berikut: 1. Untuk karakteristik sistem, threat dan vulnerability akan menggunkan risk driver yang terdapat pada dokumen Cobit Control Practice (ITGI, 2007). 2. Penentuan kategori likelihood, impact dan risk exposure didasarkan pada dokumen pedoman manajemen risiko 3. Rekomendasi didapatkan dari rekomendasi perbaikan sesuai dengan hasil assessment maturity attribute.



3

BAB III

METODOLOGI PENELITIAN 3.1

Metodologi Pada bagian metodologi penelitian ini, penulis akan merumuskan langkah-

langkah apa saja yang dilakukan untuk mencapai hasil penelitian yang sesuai harapan.

Gambar 3.1 Tahapan Penelitian

33



34

1.

Tahap 1: Penyertaan Masalah

Pada tahapan ini akan dilakukan penjabaran latar belakang penelitian dan perumusan masalah.

2.



Input:ketidaksesuaian realita dengan harapan



Proses: Identifikasi masalah



Out put: masalah apa yang ingin dipecahkan

Tahap 2: Penyusunan Studi Literatur Teori

Pada tahapan ini akan dilakukan eksplorasi literature-literatur yang sesuai dengan permasalahan yang dihadapi dalam penelitian ini

3.



Input:Teori dan Penelitian yang relevan



Proses: Mencari teori yang sesuai



Out put: Mengetahui teori yang sesuai

Tahap 3: Menentukan metode pengukuran

Pada tahapan ini akan dilakukan pemilihan metode pengukuran yang sesuai untuk mengukur tingkat kemapanan tata kelola

4.



Input: Masalah dan teori yang sesuai



Proses: Menentukan metode pengukuran dan data yang dibutuhkan



Out put: Metode pengukuran

Tahap 4: Pengumpulan Data

Pada tahapan ini akan dilakukan pengumpulan data-data pendukung guna menunjang pelaksanaan penelitian.

5.



Input:Data kuantitatif dan Wawancara



Proses: Mengumpulkan data dan informasi



Out put: Data yang dibutuhkan

Tahap 5: Analisis,Pengukuran kemapanan dan Penyusunan Rekomendasi

Pada tahapan ini akan dilakukan analisis dan pengukuran kemapanan sesuai dengan metode pengkuran dan data yang tersedia. 

Input: Data yang dibutuhkan



Proses: Melakukan analisa dan perhitungan tingkat kemapanan dan menyusun rekomendasi perbaikan



35

 6.

Out put: Nilai tingkat kemapanan eksisting dan rekomendasi perbaikan

Tahap 6: Menyusun Program

Pada tahapan ini akan dilakukan penyusunan program sesuai dengan nilai tingkat kemapanan dan rekomendasi perbaikan.

7.



Input: Nilai tingkat kemapanan eksisting dan rekomendasi perbaikan



Proses: Melakukan penyusunan program



Out put: Program yang akan dilaksanakan

Tahap 7: Validasi

Pada tahapan ini akan dilakukan validasi hasil pengukuran tingkat kemapanan, rekomendasi perbaikan dan program yang diusulkan. 

Input: Nilai tingkat kemapanan, rekomendasi perbaikan dan usulan program



Proses: Melakukan konfirmasi hasil pengukuran tingkat kemapanan, rekomendasi perbaikan dan usulan program kepala Divisi OTI dan MRI

 8.

Out put: Hasil konfirmasi

Tahap 8: Pelaksanaan program

Pada tahapan ini akan dilakukan implementasi program yang telah diusulkan.

9.



Input: Usulan program yang telah dikonfirmasi



Proses: Melakukan implementasi program



Out put: Hasil pelaksanaan program

Tahap 9: Review, Kesimpulan dan Saran

Pada tahapan ini akan disampaikan hasil review, kesimpulan dan saran sesuai hasil penelitian. Kesimpulan menggambarkan hasil akhir penelitian secara keseluruhan. 

Input: Hasil konfirmasi dan hasil pelaksanaan program



Proses: Menyampaikan kesimpulan dan saran



Out put: Hasil review, kesimpulan dan saran



36

3.2

Framework Penelitian Adapun framework penelitian yang digunakan adalah sebagai berikut:

Gambar 3.2 Framework penelitian

Berikut ini akan dijelaskan secara singkat mengenai alur dari framework penelitian yang terdapat pada gambar di atas: 1.

Langkah

pertama

dalam

framework

tersebut

adalah

melakukan

assessment nilai maturity cobit berdasarkan maturity attribute dari setiap proses di domain DS. 2. Menyusun

rekomendasi

perbaikan

berdasarkan

hasil

assessment,

rekomendasi yang diberikan bertujuan agar setiap maturity attribute mempunyai nilai maturity level mencapai 4. 3. Melakukan risk assessment untuk melihat tingkat risiko jika rekomendasi perbaikan tidak dilakukan. Hal ini dapat dijadikan pertimbangan dalam menentukan rekomendasi mana yang harus diimplementasikan terlebih dahulu. Dalam melakukan risk assessment akan mengacu kepada risk driver yang terdapat di control practice Cobit. 4. Langkah selanjutnya adalah melakukan validasi hasil rekomendasi dan melakukan penyusunan program yang termasuk didalamnya melakukan perbaikan SOP. Dalam menyusun SOP akan memperhatikan best practice dari ITIL versi 3.



4

BAB IV

PROFIL PERUSAHAAN IDX (Indonesia Stock Exchange) atau yang lebih dikenal dengan Bursa Efek Jakarta adalah pasar modal yang berpusat di Jakarta. Pasar modal atau bursa efek telah ada sejak tahun 1912, sebelum Indonesia merdeka, didirikan oleh pemerintah Hindia Belanda untuk kepentingan pemerintah kolonial atau VOC. Namun perkembangan dan pertumbuhan pasar modal tidak berjalan sesuai harapan bahkan di beberapa periode kegiatan pasar modal mengalami kekosongan baik akibat perang dunia pertama dan kedua, perpindahan kekuasaan dari pemerintah kolonial ke pemerintah Republik Indonesia, serta kondisi lainnya yang menyebabkan operasi bursa efek tidak dapat berjalan. Pemerintah Indonesia mengaktifkan kembali bursa efek pada tahun 1977, dan beberapa tahun kemudian pasar modal mengalami pertumbuhan seiring dengan berbagai insentif dan regulasi yang dikeluarkan oleh pemerintah. Sejarah perkembangan pasar modal Indonesia dapat dilihat pada tabel 4.1. Tabel 4.1 Sejarah Perkembangan BEI

PERIODE Desember 1912 1914 – 1918 1925 – 1942

Awal tahun 1939

1942 – 1952

1956

SEJARAH PERKEMBANGAN Bursa efek pertama di Indonesia dibentuk di Batavia oleh Pemerintah Hindia Belanda. Bursa efek di Batavia ditutup selama Perang Dunia I. Bursa efek di Jakarta, Semarang dan Surabaya dibuka kembali. Karena isu politik (Perang Dunia II) bursa efek di Semarang dan Surabaya ditutup. Bursa efek di Jakarta ditutup kembali selama Perang Dunia II. Program nasionalisasi perusahaan Belanda. Bursa efek semakin tidak aktif. 37



38

Tabel 4.2 Sejarah Perkembangan BEI (lanjutan)

PERIODE 1956 – 1977

SEJARAH PERKEMBANGAN Perdagangan di bursa efek vakum. Bursa efek diresmikan kembali oleh Presiden Soeharto. Bursa Efek Jakarta (BEJ) dijalankan di bawah BAPEPAM

10 Agustus 1977

(Badan Pelaksana Pasar Modal). Tanggal 10 Agustus diperingati

sebagai

hari

peringatan

pasar

modal.

Pengaktifan kembali pasar modal ini juga ditandai dengan go public PT Semen Cibinong sebagai emiten. Perdagangan di bursa efek sangat lesu. Jumlah emiten 1977 – 1987

hingga tahun 1987 baru mencapai 24 emiten. Masyarakat lebih

memilih

instrumen

perbankan

dibandingkan

instrumen pasar modal. Ditandai

dengan

hadirnya

Paket

Desember

1987

(PAKDES 87) yang memberikan kemudahan bagi

1987

perusahaan untuk melakukan penawaran umum dan investor asing menanamkan modal di Indonesia. Paket deregulasi dibidang perbankan dan pasar modal

1988 – 1990

diluncurkan. Pintu Bursa Efek Jakarta terbuka untuk asing. Aktivitas bursa mulai meningkat. Bursa Paralel Indonesia (BPI) mulai beroperasi dan

2 Juni 1988

dikelola oleh Persatuan Perdagangan Uang dan Efek (PPUE), sedangkan organisasinya terdiri dari pialang (broker) dan agen (dealer). Pemerintah mengeluarkan Paket Desember 88 (PAKDES

Desember 1988

88) yang memberikan kemudahan perusahaan untuk go public dan beberapa kebijakan lain yang positif bagi pertumbuhan pasar modal.



39

Tabel 4.3 Sejarah Perkembangan BEI (lanjutan)

PERIODE

SEJARAH PERKEMBANGAN Bursa Efek Surabaya (BES) mulai beroperasi dan dikelola

16 Juni 1989

oleh perseroan terbatas milik swasta yaitu PT Bursa Efek Surabaya. Penswastaan Bursa Efek Jakarta. BAPEPAM berubah

13 Juli 1992

menjadi Badan Pengawas Pasar Modal. Tanggal ini diperingati sebagai hari ulang tahun PT Bursa Efek Jakarta. Sistem Otomasi perdagangan dilaksanakan di PT Bursa

22 Mei 1995

Efek Jakarta menggunakan sistem computer JATS (Jakarta Automated Trading Systems). Pemerintah mengeluarkan Undang-undang No. 8 Tahun

10 November 1995

1995 tentang pasar modal yang mulai berlaku sejak Januari 1996. Bursa Paralel Indonesia merger dengan Bursa Efek

1995

Surabaya. Sistem perdagangan tanpa warkat (scripless trading) mulai

2000

diaplikasikan di pasar modal Indonesia. PT Bursa Efek Jakarta mulai mengaplikasikan sistem

2002

perdagangan jarak jauh (remote trading). Bursa Efek Surabaya dan Bursa Efek Jakarta bergabung

2007

menjadi Bursa Efek Indonesia (BEI).

2 Maret 2009

Peluncuran perdana sistem perdagangan baru PT Bursa Efek Indonesia, yaitu JATS-NextG.



40

Visi PT Bursa Efek Indonesia adalah menjadi bursa yang kompetitif dengan kredibilitas tingkat dunia. Dengan misi menciptakan daya saing untuk menarik investor dan perusahaan tercatat (listed emiten), melalui pemberdayaan anggota bursa, penciptaan nilai tambah, efisiensi biaya serta penerapan good governance. 4.1

Tata Kelola Organisasi Tata kelola perusahaan atau corporate governance adalah sistem yang

dirancang dalam rangka mengarahkan pengelolaan perusahaan secara profesional berdasarkan

prinsip-prinsip

transparansi,

akuntabilitas,

tanggung

jawab,

kemandirian, kewajaran dan kesetaraan. Sebagai SRO (Self Regulatory Organization), sudah semestinya jika PT Bursa Efek Indonesia menjadi panutan bagi perusahaan publik atau perusahaan tercatat dan juga perusahaan efek, terutama Perusahaan Efek Anggota Bursa (PE AB), sehingga penerapan tata kelola perusahaan yang baik (Good Corporate Governance - GCG) menjadi sangat penting. Pada akhir 2010, penyempurnaan pedoman GCG ini sudah mulai masuk tahapan akhir. Dipastikan pada kuartal pertama 2011 nanti (hal ini sudah dilaksanakan pada kuartal pertama 2011, PT Bursa Efek Indonesia telah memiliki piagam (charter) GCG yang baru dalam bentuk buku manual agar mudah disosialisasikan kepada seluruh karyawan PT Bursa Efek Indonesia. Termasuk di dalamnya terkait dengan penyempurnaan nilai-nilai perusahaan, pedoman perilaku dan kode etik. Tujuan pedoman tata kelola (Corporate Governance) PT Bursa Efek Indonesia adalah: 1.

Sebagai pedoman bagi dewan komisaris dalam melaksanakan pengawasan dan pemberian saran-saran kepada direksi dalam pengelolaan perusahaan.

2.

Sebagai pedoman bagi direksi agar dalam menjalankan perusahaan seharihari dilandasi dengan nilai moral yang tinggi dengan memperhatikan anggaran dasar, etika bisnis, perundang-undangan dan peraturan yang berlaku lainnya.



41

3.

Sebagai pedoman bagi jajaran manajemen dan karyawan PT Bursa Efek Indonesia dalam melaksanakan kegiatan atau tugas sehari-hari sesuai dengan prinsip-prinsip tata kelola perusahaan yang baik. Dalam rangka mencapai visi perusahaan serta melaksanakan misi

perusahaan maka pada tahun 2010 disosialisasikan tata nilai (core value) perusahaan yang terdiri dari: 1.

Kerjasama (Teamwork).

2.

Integritas (Integrity).

3.

Profesionalisme (Professionalism).

4.

Pelayanan prima (Service Excellence). Tata nilai tersebut kemudian diimplementasikan dalam kompetensi inti

(core competencies), yaitu: 1. Membangun Kepercayaan (Building Trust). 2. Integritas (Integrity). 3. Memiliki keunggulan (Strive for Excellence). 4. Fokus kepada Pelanggan (Customer Focus). Proses implementasi tata kelola perusahaan PT Bursa Efek Indonesia yang berkelanjutan merupakan salah satu rencana pengembangan untuk mencapai visi dan misi perusahaan. Rencana tersebut dibuat oleh divisi manajemen risiko dalam beberapa program seperti program sosialisasi dan peningkatan kesadaraan (awareness), pemantauan (monitoring) dan penilaian (assessment) implementasi tata kelola perusahaan yang baik secara berkala, serta penyempurnaan pedoman, piagam dan prosedur tata kelola perusahaan yang baik.



42

4.2

Struktur Organisasi Berikut ini merupakan struktur organisasi dari PT Bursa Efek Indonesia

(BEI).

Gambar 4.1 Struktur Organisasi BEI

Berikut ini merupakan struktur detil dari direktorat Teknologi Informasi dan Manajemen Risiko.



43

Gambar 4.2 Struktur Direktorat TMR

Pada direktorat Teknologi Informasi dan Manajemen Risiko terdapat 3 Divisi seperti yang telah disebutkan pada bagian pendahuluan di Bab 1. Berkaitan dengan penelitian yang akan dilakukan akan banyak berkaitan dengan Divisi Operasi TI (OTI), berikut ini akan disampaikan secara singkat mengenai job description pada masing-masing unit kerja. Pada saat ini terdapat 4 unit kerja yang berada di bawah di Divisi OTI, yaitu: 1. Unit Sistem Manajemen Bertanggung jawab untuk memastikan adanya harmonisasi kerja terkait dengan

pemenuhan

permintaan

pengadaan

pengembangan

produk,

infrastruktur, peraturan operasional teknologi informasi baik bagi operasional perkantoran maupun operasional bisnis yang ada di Bursa Efek Indonesia dengan mengacu pada standar IT Governance yang ditetapkan. 2. Unit Operasi Bisnis



44

Bertanggungjawab untuk memastikan terlaksananya operasional sistem bisnis BEI berbasis teknologi informasi berjalan secara efektif dan efisien. 3. Unit Operasi Perkantoran Bertanggungjawab untuk memastikan terlaksananya operasional sistem perkantoran BEI berbasis teknologi informasi berjalan secara efektif dan efisien. 4. Unit Network and Technical Support Bertanggung jawab untuk memastikan terlaksananya kegiatan perencanaan, dukungan proses pengadaan perangkat dan penerapan infrastruktur jaringan dan dukungan teknis serta ketersediaan dan kehandalan sistem (perdagangan dan perkantoran).



5

BAB V

ANALISIS DAN PEMBAHASAN

Pada bagian ini akan dibahas tentang hasil analisis dan pembahasan mengenai penerapan tata kelola TI yang terdapat di PT BEI.

Analisis dan

pembahasan yang dilakukan meliputi:

5.1



kondisi tata kelola pada saat ini



evidence dari penerapan tata kelola tersebut serta



gap analysis kondisi eksisting dengan kondisi ideal

Metode untuk Assessment Penerapan Tata Kelola TI Guna membantu dalam melakukan analisis kondisi tata kelola pada PT

BEI, penulis akan menggunakan metode wawancara, observasi dan melakukan kaji dokumen, khususnya untuk Divisi Operasi TI. Hal ini dilakukan karena domain Delivery and Support (DS) lebih banyak terkait dengan Divisi Operasi TI. Analisis yang dilakukan meliputi prosedur TI yang terdapat di Divisi Operasi TI, observasi penerapan prosedur dalam kegiatan operasional TI dan mencari ketidaksesuaian antara prosedur yang ada dengan kenyataan di lapangan. Berdasarkan hasil analisis dapat diketahui bahwa di Divisi Operasi mempunyai 25 prosedur yang digunakan sebagai acuan dalam melakukan kegiatan operasional TI di PT BEI. Hasil analisis ini dapat digunakan sebagai gambaran awal untuk mengetahui penerapan prosedur di PT BEI sebelum melakukan assessment nilai kemapanan berdasarkan cobit. Hasil analisis dapat dilihat pada tabel 5.1 analisis prosedur.

45



46

Tabel 5.1 Analisis SOP Divisi Operasi TI Self Assessment

No

Nama Acuan Kerja

1

SOP-001 Permintaan layanan

2

3

4

SOP-002 Backup rutin office

SOP-003 Backup perdagangan saham SOP-004 Backup multimarket

Referensi

Penjelasan mengenai ketidaksesuaian dengan referensi

√ Cobit,

X Form sudah dibuat, namun perlu ditingkatkan konsistensinya. Hal ini untuk mencapai cobit level 4

Kesesuaian dengan proses di area kerja

Pembagian Tanggung Jawab

Integrasi Proses

Pengendalian Risiko

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√



Tindak Lanjut Perbaikan

Melakukan penyesuaian mekanisme penyampaian hasil backup.

47

Tabel 5.2 Analisis SOP Divisi Operasi TI (lanjutan) Self Assessment No

5

Nama Acuan Kerja

SOP-005 Penanganan incident

Referensi




Integrasi Proses

Pengendalian Risiko

√

√

√

X

√

√

√

√

√

X

SOP-006 Penanganan masalah perkantoran 6

7

8

SOP-007 Penanganan masalah saham SOP-008 Penanganan masalah multimarket

√

√

√

√

X

√

√

√

√

X



Tindak Lanjut Perbaikan Terkait Integrasi Proses: Dibutuhkan adanya rencana integrasi dengan prosedur BCP. Terkait Pengendalian Risiko: - Pembuatan work instruction

Terkait Pengendalian Risiko: Dibutuhkan adanya tambahan work instruction Terkait Pengendalian Risiko: - Pembuatan work instruction

48


9

Nama Acuan Kerja

SOP-009 Akses masuk ruang server

12

SOP-010 StartupShutdown Perdagangan saham SOP-011 StartupShutdown Perdagangan multimarket SOP-012 Manajemen account

13

SOP-014 Monitoring bisnis

10

11



Integrasi Proses

Pengendalian Risiko

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

Referensi

ISO27001

Penjelasan mengenai ketidaksesuaian dengan referensi X - Perlu dilakukan peningkatan konsistensi dalam pelaksanaan SOP




49


Nama Acuan Kerja

14

SOP-013 Monitoring perkantoran

15

SOP-015 Manajemen Operasional SOP-016 Persediaan

16



Integrasi Proses

Pengendalian Risiko

√

√

√

√

√

√

√

√

√

√

Referensi


√

√

√

√

X

√

√

√

√

X

√

√

X

SOP-017 Lisensi 17

18

SOP-018 Pemeliharaan

√




Terkait Pengendalian Risiko: Dibutuhkan adanya tool untuk pengelolaan persediaan perangkat Terkait Pengendalian Risiko: Dibutuhkan adanya tool untuk pengelolaan lisensi Terkait Pengendalian Risiko: - Perlu ditambahkan mekanisme teguran dan template surat teguran

50


19

20

21

22

23

Nama Acuan Kerja

SOP-019 Disposal SOP-020 Change Management

SOP-021 Configuration Management SOP-022 Kelangsungan pelayanan SOP-023 Manajemen pelayanan

Referensi


√



Integrasi Proses

Pengendalian Risiko

√

√

√

√

√

√

√

√

√

√

√

√

√

X

√

√

√

√

√

√

√

√

√

Cobit,

X Form sudah dibuat, namun perlu ditingkatkan konsistensinya dalam pelaporan SLA. Hal ini untuk mencapai cobit level 4




Terkait Rencana Mitigasi: Melakukan sosialisasi dengan Div PTI untuk perbaikan delivery Terkait Pengendalian Risiko: - Diperlukan adanya tool CMDB untuk membantu manage konfigurasi

51


Nama Acuan Kerja

Referensi




Integrasi Proses

Pengendalian Risiko

Tindak Lanjut Perbaikan Terkait pengendalian Risiko dan Kesesuaian di area kerja: - Akan dilakukan pembuatan form pendukung - Patch IDXNET dan Website akan dilakukan pengujian

SOP-024 Pacth management 24

√

SOP-025 Capacity planning

25

ISO27001 ITIL V3

X - Perlu ditambahkan aplikasi yang diukur, idealnya semua sistem bisnis dan sistem office - Perlu dilakukan pengukuran kapasitas pada saat dilakukan enhancement sistem

X

√

√

X

√

√

√

√



52

5.2

Pengukuran Kemapanan Tata Kelola Setelah mengetahui kondisi eksisting dari tata kelola yang terdapat di PT

BEI, langkah selanjutnya yang akan dilakukan adalah melakukan pengukuran tingkat kemapanan Tata Kelola tersebut dan mencari gap yang ada sehingga dapat mencapai tingkat kemapanan yang diinginkan (level 4). Assessment yang dilakukan berdasarkan maturity attribute dari setiap proses yang terdapat pada domain DS. Berikut ini adalah daftar maturity attribute beserta deskripsi dari setiap level dari attribute tersebut.



53

Tabel 5.7 Maturity Attribute ML 1

2

Awareness and Communication (AC) Recognition of the need for the process is emerging. There is sporadic communication of the issues.

Policies, Plans and Procedures (PPP) There are ad hocapproaches to processes and practices. The process and policies are undefined.

Tools and Automation (TA) Some tools may exist; usage is based on standard desktop tools. There is no planned approach to the tool usage.

Skills and Expertise (SE) Skill required for the process are not identified. A training plan does not exist and no formal training occurs.

There is awareness of the need to act. Management communicates the overall issues.

Similar and common processes emerge, but are largely intuitive because of individual expertise. Some aspects of the process are repeatable because of individual expertise, and some documentation and informal understanding of policy and procedures may exist.

Common approaches to use of tools exist but are based on solutions developed by key individuals. Vendor tools may have been acquired, but are probably not applied correctly, and may even be shelfware.

Minimum skill requirements are identified for critical areas. Training is provided in response to needs, rather than on the basis of an agreed plan, and informal training on the job occurs.

Responsibility and Accountability (RA) There is no definition of accountability and responsibility. People take ownership of issues based on their own initiative on a reactive basis. An individual assumes his/her responsibility and is usually held accountable, even if this is not formally agreed. There is confusion about responsibility when problems occur, and a culture of blame trends to exist.



Goal Setting and Measurement (GM) Goals are not clear and no measurement takes place.

Some goal setting occurs; some financial measures are established but are known only by senior management. There is inconsistent monitoring in isolated areas.

54


4

Awareness and Communication (AC) There is understanding of the need to act. Management is more formal and structured in its communication.

There is understanding of the full requirements. Mature communication techniques are applied and standard communication tools are in use.

Policies, Plans and Procedures (PPP)





Usage of good practices emerges. The process, policies and procedures are defined and documented for all key activities.

A plan has been defined for use and standardisation of tools to automate the process. Tools are being used for their basic purposes, but may not all be in accordance with the agreed plan, and may not be integrated with one another.

Skill requirements are defined and documented for all areas. A formal training plan has been developed, but formal training is still based on individual initiatives.

Process responsibility and accountability are defined and process owners have been identified. The process owner is unlikely to have the full authority to exercise the responsibilities.

The process is sound and complete; internal best practices are applied. All aspects of the process are documented and repeatable. Policies have been approved and signed off on by management. Standards for developing and maintaining the processes and procedures are adopted and followed.

Tools are implemented according to a standardised plan, and some have been integrated with other related tools. Tools are being used in main areas to automate management of the process and monitor critical activities and controls.

Skill requirements are routinely updated for all areas, proficiency is ensured for all critical areas, and certification is encouraged. Mature training techniques are applied according to the training plan, and knowledge sharing is encouraged. All internal domain experts are involved, and the effectiveness of the training plan is assessed.

Process responsibility and accountability are accepted and working in a way that enables a process owner to fully discharge his/her responsibilities. A reward culture is in place that motivates positive action.

Some effectiveness goals and measures are set, but are not communicated, and there is a clear link to business goals. Measurement processes emerge, but are not consistently applied. IT balanced scorecard ideas are being adopted, as is occasional intuitive application of root cause analysis. Efficiency and effectiveness are measured and communicated and linked to business goals and the IT strategic plan. The IT balanced scorecard is implemented in some areas with exceptions noted by management and root cause analysis is being standardised. Continuous improvement is emerging.



55


Awareness and Communication (AC) There is advanced, forward-looking understanding of requirements. Proactive communication of issues based on trends exists, mature communication techniques are applied, and integrated communication tools are in use.

Policies, Plans and Procedures (PPP) External best practices and standards are applied. Process documentation is evolved to automated workflows. Processess, policies and procedures are standardised and integrated to enable end-to-end management and improvement.





Standardised tools sets are used across the enterprise. Tools are fully integrated with other related tools to enable end-to-end support of the processes. Tools are being used to support improvement of the process and automatically detect control exceptions.

The organisation formally encourages continuous improvement of skills, based on clearly defined personal and organisational goals. Training and education support external best practices and use of leading-edge concepts and techniques. Knowledge sharing is an enterprise culture, and knowledge-based systems are being deployed. External experts and industry leaders are used for guidance.

Process owners are empowered to make decisions and take action. The acceptance of responsibility has been cascaded down throughout the organisation in a consistent fashion.

There is an integrated performance measurement performance measurement system linking IT performance to business goals by global application of the IT balanced scorecard. Exceptions are globally and consistently noted by management and root cause analysis is applied. Continuous improvement is a way of life.



56

Setelah mengetahui acuan dalam memberikan nilai setiap atribut, pada tahapan selanjutnya akan dilakukan pemetaan kondisi eksisting dalam sistem penilaian tersebut sehingga dapat diketahui nilai untuk setiap proses pada domain DS. 5.2.1

DS1 Define and Manage Service Level Proses yang pertama pada domain DS adalah define and manage service

level. Pada proses ini mempunyai tujuan untuk membentuk komunikasi yang efektif dan selaras antara management TI dengan business customer terkait dengan layanan yang dibutuhkan oleh bisnis. Keselarasan pemahaman tersebut didokumentasikan dalam dokumen service level agreement (SLA). Pada proses ini juga akan melihat aktifitas monitoring dan pelaporan pencapaian SLA secara rutin. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.3. Tabel 5.8 Assessment Maturity Level DS1 define and manage service level MA AC

Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi rutin 1 tahun sekali melalui forum pembahasan service level quality (SLQ) antar Divisi di PT BEI (diatur juga dalam pedoman pengelolaan layanan TI). - Telah dilakukannya program induksi untuk karyawan baru.

ML

Status Meet

1

2

- Materi induksi karyawan baru. - Dokumen SLQ

Meet

3

- Dokumen SLQ. - Materi induksi karyawan baru. - Form laporan SLA. - Form survey kepuasan pelanggan. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.

Meet

- Adanya pelaporan pencapaian SLA kepada user pada setiap bulannya. - Telah dilakukannya survey kepuasan pelanggan.

Evidence

4

5

Not Meet

Not Meet



57

Tabel 5.3 Assessment Maturity Level DS1 define and manage service level (lanjutan) MA

Current Condition

PPP

- Terdapat Pedoman Pengelolaan Tingkat Layanan TI yang sudah mengacu ke ITIL v.3 dan terdapat prosedur SOP 023-Manajemen Pelayanan. - Terdapat dokumen Service Level Quality yang selaras antar Divisi, SLA terkait sistem perdagangan yaitu: 99, 75%, dan SLA terkait sistem perkantoran yaitu 95%. - Unit Operasi Bisnis (ITB) dan Unit Operasi Perkantoran (ITO) menyusun laporan SLA untuk aplikasi-aplikasi utama kepada user. - Monitoring SLA untuk service request dilakukan oleh Unit sistem management dan dilaporkan setiap bulan kepada Kepala Divisi Operasi TI dan Direktur. - Review kontrak dilakukan oleh Unit NTS. - Pelaporan SLA kepada user pada saat ini masih belum dilakukan secara regular. Sedangkan laporan ke Direktur TI dalam laporan bulanan, secara rutin sudah dijalankan. - Pada saat ini di PT BEI telah terdapat aplikasi sistem manajemen yang disebut aplikasi Service desk dan aplikasi Budget Realization digunakan untuk monitoring anggaran yang dimiliki oleh Divisi IT dan Divisi user. - Dashboard di Service desk dapat di kustomisasi sesuai level akses. - Manajemen dapat memberikan approval melalui aplikasi Service desk. - Terdapat alert jika sudah mendakati SLA untuk insiden dan service request.

TA

ML

Evidence

Status Meet

1

2

- Dokumen SLQ

Meet

3

- Dokumen SLQ - Laporan SLA sistem - Laporan SLA Service Request - Dokumen SLA Insiden. - Pelaporan kepada user belum dilakukan secara regular.

Meet

4

Not Meet Not Meet

5

1

- Print aplikasi Service desk.

Meet

2


Meet

3


Meet

4


Meet

Not Meet

5



58

Tabel 5.3 Assessment Maturity Level DS1 define and manage service level (lanjutan) MA SE

Current Condition - Keahlian yang dibutuhkan sudah tercantum pada job requirement personil terkait.

2

3

- Di dalam Job description telah terdapat job specification dan job requirement Untuk masing-masing jabatan.

4

- Pihak yang betanggung jawab atas pemenuhan SLA adalah Unit operasi perkantoran dan Unit operasi bisnis yang akan didukung oleh Unit Network dan Technical Support (NTS) sebagai second layer support. - SLA disusun berdasarkan kesepakatan antara user dengan tim TI. - Pihak yang bertanggung jawab mengenai pemenuhan SLA untuk menangani request management (permintaannya disebut service request) adalah Unit SM. - Pihak yang bertanggung jawab menangani permintaan pengembangan adalah Divisi Pengembangan TI (PTI). - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

Evidence

Status Meet

1

- Untuk meningkatkan kemampuan karyawan, BEI melakukan training IT IL, CCNA, Windows, Linux, exchange dan lain-lain.

- Pada saat ini PT BEI telah mempunyai karyawan yang memiliki sertifikasi ITIL versi 3 RA

ML

- Job requirement pada Job description Divisi Operasi TI (OTI). - Data Pelatihan tahun 2012 - Job requirement pada Job description Divisi Operasi TI (OTI). - Data Pelatihan tahun 2012 - Printscreen bukti sertifikasi IT-IL versi 3.

Meet

Meet

Meet

5

Not Meet

1

Meet

2

- Job description Kepala Divisi OTI. - Job description Kepala Divisi PTI. - Job description Kepala Unit ITO dan ITB

Meet

3

- Job description Kepala Divisi OTI. - Job description Kepala Divisi PTI. - Job description Kepala Unit ITO dan ITB

Meet

4

- Job description Kepala Divisi OTI. - Job description Kepala Divisi PTI. - Job description Kepala Unit ITO dan ITB - KPI Divisi OTI

Meet

5

Not Meet



59

Tabel 5.3 Assessment Maturity Level DS1 define and manage service level (lanjutan) MA

Current Condition

GM

- Untuk mengukur keberhasilan komunikasi yang sudah dilakukan menggunakan KPI Kepala Divisi OTI yang tercantum pada area Improve availability and reliability of internal IT operation, yang mencakup: 1. Menjaga SLA sistem perdagangan dan sistem perkantoran. 2. Memenuhi SLA Incident. 3. Memenuhi SLA Layanan Service desk. - Apabila SLA tidak tercapai hal ini akan performance appraisal, terkait dengan kenaikan gaji dan bonus. - Setiap Divisi memiliki rangking karyawan pada saat performance appraisal berdasarkan pencapaian KPI.

ML

Evidence

Meet

1

2

3

4

Status

- Dokumen acuan SLA Service Request. - Dokumen acuan SLA Insiden. - Dokumen acuan SLA Service Request. - Dokumen acuan SLA Insiden. - KPI Kepala Divisi OTI.

Meet

Meet

Meet

Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS1 define and manage service level adalah 3.67, jika dibulatkan ke bawah menjadi 3. 5.2.2

DS2 Manage Third Party Services Proses yang kedua pada domain DS adalah manage third party services.

Pada proses ini mempunyai tujuan untuk memastikan bahwa service atau layanan yang diberikan oleh pihak ketiga (rekanan atau vendor) dapat memenuhi kebutuhan bisnis. Untuk mencapai hal tersebut dibutuhkan adanya definisi secara jelas mengenai peran, tanggung jawab dan harapan terhadap pihak ketiga yang tertuang dalam perjanjian kerja sama. Dalam hal ini termasuk proses review dan monitoring pelaksanaan perjanjian tersebut untuk meningkatkan efektifitas dan kepatuhan dalam perjanjian tersebut. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.4.



-

60

Tabel 5.9 Assessment Maturity Level DS2 Manage Third Party Services MA AC

Current Condition

ML

- Untuk meningkatkan awareness dan communication telah dilakukan pemaparan untuk menjelaskan SLA dan layanan yang dibutuhkan pada saat pengadaan jasa pemeliharaan aplikasi atau perangkat. - Telah dilakukan sosialisasi adanya evaluasi kinerja rekanan kepada internal Divisi OTI terutama staff Unit NTS. dan kepada rekanan yang terpilih untuk melakukan pemeliharaan.

1 2

3

4

5

PPP

- Pada saat ini, dalam perjanjian pemeliharaan dibagi menjadi 2 yaitu preventive maintenance (per 3 bulan) dan remedial maintenance (jika terjadi kerusakan) dengan SLA yang mencakup respon time, onsite dan resolution time. - Terdapat prosedur yang mengatur pelaksanaan maintenance dan proses evaluasi pasca dilakukan maintenance - Pihak yang melakukan koordinasi dalam melakukan preventive maintenance dan remedial maintenance adalah adalah Unit NTS. - Pengelolaan Pihak Ketiga diatur dalam Pedoman Tata Kelola TI yang sudah mengacu kepada ISO27001. - Belum terdapat kebijakan dan prosedur yang mengatur mengenai audit vendor dan mekanisme teguran terhadap vendor yang kinerjanya kurang baik.

Evidence

Status Meet

- Dokumen Request For Quotation (RFQ) untuk pemeliharaan perangkat atau aplikasi. - Dokumen Request For Quotation (RFQ) untuk pemeliharaan perangkat atau aplikasi. - Dokumen Joint Planning Session. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.

Meet

Meet

Not Meet

Not Meet Meet

1 2

- Contoh Form Evaluasi Preventive Maintenance. - Contoh Form Evaluasi Remedial Maintenance.

Meet

3

- Contoh Kontrak Maintenance Hardware. - Contoh Kontrak Maintenance Software. - Pedoman Tata Kelola TI. - Pada saat ini belum terdapat kebijakan dan prosedur yang mengatur mengenai audit vendor secara rutin. - Belum terdapat pengaturan mengenai memberikan teguran terhadap vendor yang kinerjanya kurang baik.

Meet

4

5

Not Meet

Not Meet



61

Tabel 5.410 Assessment Maturity Level DS2 Manage Third Party Services (lanjutan) MA TA

Current Condition - Aplikasi yang digunakan adalah Service desk untuk membantu dalam pencatatan incident dan problem di internal PT BEI belum terkoneksi ke pihak ketiga atau vendor. - Untuk penyimpanan database vendor masih menggunakan MS excel.

ML 1 2

3

4

5

SE

- Keahlian yang dibutuhkan sudah tercantum pada job requirement personil terkait. - Untuk meningkatkan kemampuan karyawan, BEI melakukan training ITIL, CCNA, CDCP dan lain-lain. - Belum terdapat PIC dari Unit NTS yang mempunyai sertifikasi terkait pengelolaan pihak ketiga, misalnya IT Vendor management.

Evidence

Status

- Database Vendor / supplier dalam format excel. - Database Vendor / supplier dalam format excel.

Meet

- Print screen pada aplikasi Service desk. - Database Vendor / supplier dalam format excel. - Belum terdapat tools yang terintegrasi untuk membantu efektifitas proses.

Meet

Meet

Not Meet Not Meet Meet

1 2

- Job requirement pada Job description Divisi Operasi TI (OTI).

Meet

3

- Job requirement pada Job description Divisi Operasi TI (OTI). - Data Pelatihan tahun 2012

Meet

4

- Belum terdapat PIC yang mempunyai sertifikasi untuk pengelolaan vendor.

Not Meet

Not Meet

5



62

Tabel 5.4 Assessment Maturity Level DS2 Manage Third Party Services (lanjutan) MA RA

Current Condition - Pihak yang terkait dalam pengelolaan pihak ketiga adalah Unit NTS. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

ML

2

4

5

- KPI Pengelolaan pihak ketiga sudah terdapat pada KPI Kepala Unit NTS - Pengukuran yang dilakukan terkait kinerja rekanan dalam melakukan problem solving apakah sesuai dengan SLA ataukah tidak.

- Job description Kepala Unit NTS. - Job description Staff Unit NTS. - Job description Kepala Unit NTS. - Job description Staff Unit NTS. - Job description Kepala Unit NTS. - Job description Staff Unit NTS. - KPI Kepala Unit NTS

3

4

Meet

Meet

Meet

Not Meet Meet

1 2

Status Meet

1

3

GM

Evidence

- Form evaluasi remedial maintenance - Form evaluasi remedial maintenance - Form evaluasi remedial maintenance - KPI Kepala Unit NTS

Meet

-

Meet

-

Meet

Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS2 manage third party services adalah 3.33, jika dibulatkan ke bawah menjadi 3.



63

5.2.3

DS3 Manage Performance and Capacity Proses yang ke tiga pada domain DS adalah manage performance and

capacity. Pada proses ini mempunyai tujuan untuk mengelola performance dan kapasitas sumber daya TI, untuk melakukan hal tersebut membutuhkan adanya proses review secara periodik terhadap performance dan kapasitas sumber daya TI. Proses ini mencakup proses peramalan (forecast) kebutuhan di masa mendatang berdasarkan data historis dan persyaratan kontingensi. Hasil yang didapatkan dari proses ini adalah adanya garansi bahwa sumber daya TI dapat tersedia sesuai dengan kebutuhan bisnis. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.5. Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity MA AC

Current Condition - Pada saat ini monitoring sistem dilakukan setiap hari dan pelaporannya disampaikan secara rutin kepada user. - Pada tool monitoring telah terhubung ke sms gateway. - Sedangkan untuk pengukuran kapasitas dilakukan setiap 3 bulan dan peloporannya disampaikan kepada Kepala Divisi OTI dan Direktur TI.

ML

Evidence

Status Meet

1

2

- Checklist monitoring

Meet

3

- Checklist monitoring - Laporan Pengelolaan Kapasitas.

Meet

4

- Adanya aplikasi monitoring yang terkait yang dapat memberikan notifikasi jika terdapat sistem yang melebihi treshold

Meet

5

Not Meet



64

Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity (lanjutan) MA

Current Condition

ML

PPP

- Kegiatan pengukuran kapasitas dan performance asset TI dilakukan rutin setiap 3 bulan. - Pengukuran kapasitas dan performance server berdasarkan data penggunaan yang tertinggi dalam 3 bulan, meliputi memory, processor dan harddisk. - Forecast dilakukan untuk estimasi kebutuhan kapasitas untuk 1 tahun ke depan berdasarkan data historis 1 tahun ke belakang. Data historis didapatkan dari tool monitoring. - Pengukuran kapasitas pada saat ini baru dilakukan untuk me-review sistem eksisting, pada saat dilakukan implementasi sistem baru belum dilakukan pengukuran kapasitas .

1

TA

- Aplikasi yang digunakan untuk monitoring performance adalah Solarwind, Openview, Whatsup Gold. - Solarwind dan Openview sudah terkoneksi dengan exchange dam SMS gateway. Alert disampaikan ke personil in charge (PIC), Kepada Unit, Kepala Divisi OTI.

2

3

4

Evidence

Status Meet

- SOP-OTI-025-Capacity Planning - Contoh FORM-OTI025-01-Form Rekapitulasi Kapasitas. - SOP-OTI-025-Capacity Planning - Contoh FORM-OTI025-01-Form Rekapitulasi Kapasitas. - Pada saat ini belum dilakukan pengukuran kapasitas pada saat dilakukan implementasi sistem baru, enhancement ataupun update versi.

Meet

Meet

Not Meet

5

Not Meet

1

Meet

2 3

4

- Capture tool monitoring - Bukti capture email notifikasi. - Capture tool monitoring - Bukti capture email notifikasi.

Meet

- Capture tool monitoring - Bukti capture email notifikasi.

Meet

Meet

Not Meet

5



65

Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity (lanjutan) MA SE

RA

Current Condition

ML

- Untuk meningkatkan kemampuan karyawan, BEI melakukan training training ITIL, tool monitoring, Windows, Linux, exchange dan lainlain. - PIC yang melakukan forecasting telah mengambil mata kuliah teknik peramalan dan mempunyai sertifikasi ITIL.

1

- Pihak yang berperan dalam pengelolaan kapasitas dan performance asset TI adalah Staff Unit ITB/ITO, Staff Unit SM, Kepala Unit ITB/ITO, Kepala Unit SM dan Kepala Divisi OTI. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

Evidence

Status Meet

2

- Data Pelatihan 20112012 untuk Divisi OTI..

Meet

3

- Data Pelatihan 20112012 untuk Divisi OTI. .

Meet

4

- Data Pelatihan 20112012 untuk Divisi OTI. - Print screen transkip nilai kuliah dan sertifikat ITIL v3.

Meet

5

Not Meet

1

Meet

2

3

4

- Job description Kepala Divisi OTI. - Job description Kepala Unit SM, ITB dan ITO. - Job description Staff Unit SM, ITB dan ITO. - Job description Kepala Divisi OTI. - Job description Kepala Unit SM, ITB dan ITO. - Job description Staff Unit SM, ITB dan ITO. - Pada saat ini belum terdapat reward culture karena belum dimasukkan dalam KPI.

Meet

Meet

Not Meet

Meet

5



66

Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity (lanjutan) MA GM

Current Condition - Pada KPI Kepala Unit dan staff belum terdapat pengukuran spesifik mengenai kapasitas.

ML

Evidence

Status Meet

1 2

- Dokumen SLA tahunan.

Meet

3

- Pada saat ini belum terdapat mekanisme pengukuran (KPI).

Not Meet

4

Not Meet

5

Not Meet

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS3 manage performance and capacity adalah 3,33, jika dibulatkan ke bawah menjadi 3. 5.2.4

DS4 Ensure Continuous Service Proses yang ke empat pada domain DS adalah ensure continuous service.

Pada proses ini mempunyai tujuan untuk memastikan adanya keberlangsungan layanan TI, untuk itu dibutuhkan adanya rencana, pemeliharaan dan pengujian IT continuity plan,penggunaan backup storage dan secara rutin melakukan simulasi dengan user bisnis. Adanya proses ini diharapkan dapat mengurangi kemungkinan dan dampak yang diakibatkan oleh adanya gangguan layanan TI khususnya pada sistem bisnis utama. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.6.



67

Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service MA AC

Current Condition - Pada tahun 2012 BEI membentuk Unit BCM yang berada di bawah Divisi MRI. Unit BCM ini telah disahkan dan disosialisasikan. - BEI telah melakukan sosialisasi atas prosedur BCP dan DRP ke pihak terkait. Sosialisasi rutin dilakukan 2 kali setahun pada saat simulasi DRC corporate. - Untuk meningkatkan awareness dan komunikasi pada proses ini telah dilakukan simulasi DRC rutin DRC bulanan yang melibatkan user

ML

- Pada proses ini telah dilakukan uji coba setiap bulan yang menjaga system readiness yang melibatkan user pemilik sistem dan TI. - Selain itu, dilakukan juga simulasi BCP dengan skala corporate dimana pengujiannya melibatkan pihak-pihak eksternal. - Setiap divisi yang sudah termasuk pada fungsi BCP memiliki prosedur BCP untuk operasional harian di DRC. - SOP BCP dari Divisi OTI adalah Penanganan Masalah, Permintaan Layanan, Start up dan Shut down Sistem Perdagangan Saham, Manajemen User Account, Backup Data Sistem Perkantoran, Backup Data Sistem Perdagangan Saham. - pada saat ini antara prosedur incident management dengan proses aktifasi DRC belum terdapat aturan yang baku

Status Meet

1 2

- Laporan hasil pengujian DRC bulanan (internal)

Meet

3

- Bahan sosialisasi Unit BCM. - Daftar hadir sosialisasi Unit BCM - Dokumentasi simulasi DRC corporate - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.

Meet

- SOP BCP Divisi OTI. - Pedoman BCP. - Hasil pengujian DRC. - SOP BCP Divisi OTI. - Pedoman BCP. - Hasil pengujian DRC. - pada saat ini belum terdapat alignment antara prosedur incident management dengan proses aktifasi DRC.

Meet

4

5 PPP

Evidence

1 2

3

4

Not Meet

Not Meet Meet

Meet

Not Meet

Not Meet

5



68

Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service (lanjutan) MA TA

Current Condition - Pada proses ini terdapat folder sharing ISO di dalam server storage.

ML

Evidence

Meet

1 2

- Capture tool sharing folder pada server storage

Meet

3

- Capture tool sharing folder pada server storage

Meet

4

- Belum terdapat tools yang terintegrasi untuk membantu efektifitas proses.

Not Meet

Not Meet Meet

5 SE

- Pada proses ini telah dilakukan Pelatihan BCP. - Di dalam Job description telah terdapat job specification dan job requirement untuk masing-masing jabatan.

Status

1 2

3

4

- SOP BCP Divisi OTI. - Pedoman BCP. - Hasil pengujian DRC. - SOP BCP Divisi OTI. - Pedoman BCP. - Hasil pengujian DRC. - pada saat ini belum terdapat alignment antara prosedur incident management dengan proses aktifasi DRC.

Meet

Meet

Not Meet

Not Meet

5



69

Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service (lanjutan) MA RA

GM

Current Condition

ML

Evidence

Status Meet

- Koordinator BCM bertanggung jawab mengkoordinasikan kesiapan fasilitas dan personil penunjang operasional perusahaan dalam kondisi darurat serta mengkoordinasikan usaha pemulihannya. - Staff Operasional Business Continuity bertanggung jawab dalam melaksanakan kegiatan operasional seluruh fungsi Business Continuity Management (termasuk di dalamnya fungsi DRC maintenance, DRC activation,dan main site restoration) - Staff Business Continuity Planning bertanggung jawab dalam melakukan pengembangan fungsi DRC dan memastikan kesertaraan sistem di TCC dan DRC. Hal ini untuk memastikan kesiapan fasilitas penunjang operasional perusahaan dalam kondisi darurat.

1

5

Not Meet

- Pengukuran tercantum pada KPI Kepala Divisi OTI tercantum pada area improve availability and reliability of internal IT operation.

1

Meet

2

3

4

2 3 4

- Job desc Koordinator BCM. - Job desc Kepala Divisi OTI. - Job desc Kepala Unit NTS, ITB, ITO. - Job desc Koordinator BCM. - Job desc Kepala Divisi OTI. - Job desc Kepala Unit NTS, ITB, ITO. - KPI Kepala Divisi OTI. - KPI Kepala Unit BCM.

- Dokumen SLA tahunan. - Dokumen SLA tahunan. - KPI Kepala Divisi OTI. - KPI Kepala Unit BCM.

Meet

Meet

Meet

Meet Meet Meet Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS4 ensure continuous service adalah 3,33, jika dibulatkan ke bawah menjadi 3.



-

70

5.2.5

DS5 Ensure System Security Proses yang ke lima pada domain DS adalah ensure system security. Pada

proses ini mempunyai tujuan untuk memelihara confidentiality, integrity,dan availability informasi dan menjaga asset TI. Pada proses ini mencakup pembuatan dan maintaining IT security roles, responsibilities, policies, standards, and procedures. Security management yang efektif

melindungi asset TI untuk

meminimalisir dampak terhadap bisnis karena adanya security vulnerabilities and incidents. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.7. Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security MA AC

Current Condition - BEI telah memiliki Pedoman Keamanan Informasi untuk mengatur confidentiality, integrity, dan availability informasi. - BEI telah melakukan security awareness training ISO 27001 serta ISMS Awareness Training. - OTI memberikan sosialisasi keamanan informasi tentang proteksi USB. - OTI telah melakukan sosialisasi terkait perubahan panjang password melaui broadcast email.

ML

Evidence

Status Meet

1 2

- Materi Sosialisasi ISO 27001. - Email broadcast terkait perubahan panjang password. - ISMS Awareness Training IDX.

Meet

3

- Materi Sosialisasi ISO 27001. - Email broadcast terkait perubahan panjang password. - ISMS Awareness Training IDX.

Meet

4

- Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.

Not Meet

5

Not Meet



71

Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security (lanjutan) MA

Current Condition

PPP

- BEI telah memiliki Pedoman Keamanan Informasi yang mengacu pada ISO 27001. - BEI memiliki Prosedur Keamanan Informasi yang memuat prosedur akses kontrol dan keamanan password serta mengenai incident security. - BEI telah menerapkan domain control untuk mengatur user account. - BEI juga telah melakukan penetration test secara berkala setiap tahun. - Enkripsi, firewall, security device, network segmentation, instrusion detection dan anti virus telah diterapkan. - BEI telah membentuk komite SMKI untuk menangani Information Security (disebut ISEG).

ML

Evidence

Meet

1 2

3

4

- SOP Incident management. - Hasil penetration test. - Contoh Insiden Keamanan Informasi. - SOP manajemen user account. - SOP Incident management. - Pedoman Keamanan Informasi. - SK Pembentukan SMKI. - SOP manajemen user account. - SOP Incident management. - Pedoman Keamanan Informasi. - Hasil penetration test.

- Tools yang digunakan pada proses ini adalah Tools Monitoring, IPS, IDS, Web Filtering, Blue Coat, NAC. Tools Monitoring diawasi oleh Unit Operasi secara bergantian (shift). - Anti virus telah terintegrasi dengan IDS dan antispam, menggunakan produk yang sama.

1 2

3

4

Meet

Meet

Meet

Not Meet Meet

5 TA

Status

- Capture tool monitoring. - Capture management anti virus. - Capture tool monitoring. - Capture management anti virus.

Meet

- Capture tool monitoring. - Capture management anti virus.

Meet

Meet

Not Meet

5



72

Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security (lanjutan) MA SE

Current Condition - Untuk meningkatkan keahlian telah dilakukan pelatihan CISSP kepada pihak-pihak yang terkait. - Menyelenggarakan pelatihan terkait ISO27001.

ML

Evidence

Meet

1 2 3 4

- Materi training CISSP - Materi training CISSP. - Belum terdapat PIC yang memiliki sertifikasi terkait security seperti certified information security manager (CISM) atau CISSP.

- SMKI bertanggung jawab dalam pengelolaan terkait keamanan informasi. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

1 2

3

4

- SK Pembentukan SMKI. - Job description Kepala Unit NTS. - Job description Staff Unit NTS. - SK Pembentukan SMKI. - Job description Kepala Unit NTS. - Job description Staff Unit NTS. - Pada saat ini belum terdapat reward culture karena belum dimasukkan dalam KPI.

Perusahaan belum memiliki KPI spesifik mengenai pengukuran pengelolaan keamanan informasi/insiden keamanan informasi.

1 2 3

Meet

Meet

Not Meet

Not Meet Meet

5 GM

Meet Meet Not Meet

Not Meet Meet

5 RA

Status

- Penyelenggaraan penetration test secara rutin. - Pada saat ini belum terdapat mekanisme pengukuran.

Meet Not Meet Not Meet Not Meet

4 5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS5 ensure system security adalah 3.17, jika dibulatkan ke bawah menjadi 3.



73

5.2.6

DS6 Identify and Allocate Cost Proses yang ke enam pada domain DS adalah identify and allocate cost.

Kebutuhan sistem yang adil dan merata dalam mengalokasikan biaya TI untuk mendukung kegiatan bisnis memerlukan pengukuran akurat dari biaya TI dan dibutuhkan adanya kesepakatan dengan pengguna bisnis dalam mengalokasikan biaya TI yang adil. Proses ini meliputi melakukan identifikasi, mengalokasikan dan melaporkan biaya TI kepada pengguna jasa. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.8. Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost MA AC

PPP

Current Condition

ML

- Untuk meningkatkan awareness dan komunikasi mengenai anggaran TI, telah dilakukan meeting koordinasi internal (antara TI dan user) ketika meeting penyusunan RKAT (rencana kegiatan anggaran tahunan). - Adanya pemberitahuan kepada user untuk menitipkan anggaran pemeliharaan. - Laporan penggunaan anggaran TI secara rutin telah dilaporakan ke management dan divisi keuangan, tapi belum dilaporkan kepada user.

1

- Pada saat ini sudah mempunyai pedoman pengelolaan investasi untuk mengukur manfaat (terutama bagi bisnis) dari investasi yang dilakukan. - Pada saat menyusun RKAT terdapat koordinasi antara TI dengan tim bisnis. - Terkait proses pengadaan, umumnya user menitipkan anggarannya ke Divisi OTI menggunakan Form Perencanaan Pengadaan Barang/Jasa Operasional TI. - Pengembalian atas investasi (ROI) belum dilakukan secara komprehensif - BEI belum menerapkan IT Chargeback

1

Evidence

Status Meet

- Jadwal meeting RKAT. - Form titipan anggaran. - Laporan bulanan. - Jadwal meeting RKAT. - Form titipan anggaran. - Laporan bulanan. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.

Meet

2

- RKAT.

Meet

3

- Pedoman Pengelolaan Investasi. - RKAT.

Meet

4

- BEI belum menerapkan IT Chargeback - Pengembalian atas investasi (ROI) belum dilakukan secara komprehensif

Not Meet

2

3

4

5

Meet

Not Meet

Not Meet Meet

Not Meet

5



74

Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost (lanjutan) MA TA

Current Condition - Terdapat tools untuk monitoring anggaran TI yaitu dengan menggunakan aplikasi budget realization.

ML

Evidence

Meet

1 2

- aplikasi Budget Realization.

Meet

3


Meet

4


Meet

Not Meet Meet

5 SE

- Untuk membuat anggaran proyek TI terdapat sosialisasi penyusunan anggaran yang diberikan oleh Divisi Keuangan dan dilakukan workshop mengenai pembuatan business plan. - Telah dilakukan sosialisasi mengenai formulir RKAT dan aplikasi kepada pihak-pihak yang terkait. - PIC merupakan lulusan akuntansi computer.

Status

1 2

- Daftar hadir sosialisasi business plan. - Materi sosialisasi dari Div Keuangan.

Meet

3

- Daftar hadir sosialisasi business plan. - Materi sosialisasi dari Div Keuangan. - Daftar hadir sosialisasi business plan. - Materi sosialisasi dari Div Keuangan. - Transkip nilai dan Ijazah.

Meet

4

Meet

Not Meet

5



75

Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost (lanjutan) MA RA

Current Condition - Budget proyek dianggarkan oleh masing-masing Divisi user. - Budget pada Divisi OTI dikelola oleh Unit SM. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

ML

Evidence

Meet

1 2

- Job description Kepala Unit SM.

Meet

3

- Job description Kepala Unit SM.

Meet

4

- Job description Kepala Unit SM. - KPI Unit SM.

Meet

Not Meet Meet

5 GM

Pengukuran dilakukan berdasarkan standar KPI, di mana sisa anggaran budget minimal 10% dan over budget dilakukan maksimal 1 tahun sekali.

Status

1 2

- KPI Kepala Divisi OTI. - KPI Kepala Unit SM.

Meet

3

- KPI Kepala Divisi OTI. - KPI Kepala Unit SM. - KPI Kepala Divisi OTI. - KPI Kepala Unit SM.

Meet

4

Meet Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS6 identify and allocate cost adalah 3,67, jika dibulatkan ke bawah menjadi 3, jika dibulatkan ke bawah menjadi 3. 5.2.7

DS7 Educate and Train Users Proses yang ke tujuh pada domain DS adalah educate and train users.

Pelatihan yang efektif untuk semua pengguna sistem TI, termasuk untuk internal TI, membutuhkan adaya identifikasi kebutuhan pelatihan dari masing-masing kelompok pengguna. Proses ini termasuk mendefinisikan dan melaksanakan strategi untuk pelatihan yang efektif dan mengukur hasilnya.



76

Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.9. Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users MA AC

Current Condition - BEI memberikan edukasi untuk EUC (End User Computing) berupa training atau sosialisasi. - BEI melakukan evaluasi hasil training yang diberikan untuk user. - BEI memberikan sosialisasi/pelatihan terkait aplikasi baru.

ML

2

3

5 - BEI telah melakukan training dan memperoleh feedback dari user. - BEI memberikan training untuk aplikasi baru kepada user dan kepada operasional TI. - Pada SOP Change Management tertera bahwa syarat live untuk suatu aplikasi salah satunya adalah menyelenggarakan training kepada user dan untuk Divisi OTI.

- Pengenalan dasar aplikasi baru. - Pengenalan aplikasi enkripsi flashdisk (EEFF). - Materi pelatihan service desk. - Pengenalan dasar aplikasi baru. - Pengenalan aplikasi enkripsi flashdisk (EEFF). - Materi pelatihan service desk. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.

Meet

- Training Feedback Form User. - SOP Change Management. - Training Feedback Form User. - SOP Change Management. - Training Feedback Form User. - SOP Change Management.

Meet

1 2

3

4

Status Meet

1

4

PPP

Evidence

Meet

Not Meet

Not Meet Meet

Meet

Meet

Not Meet

5



77

Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users (lanjutan) MA TA

Current Condition - Untuk penggunaan tools tergantung dari aplikasi yang digunakan oleh user, di mana user menguji di area development. - Feedback form masih diisi secara manual.

ML

Evidence

Meet

1 2

- Training Feedback Form User.

Meet

3

- Training Feedback Form User.

Meet

4


Not Meet

Not Meet Meet

5 SE

- Training atau pelatihan disesuaikan dari kebutuhan proyek dan struktur proyek. - Untuk kegiatan pengembangan trainer dari pengembang aplikasi (bukan dari internal). - Untuk training mengenai aplikasi internal dan penggunaan perangkat computer dilakukan oleh Divisi OTI.

1 2

- Job description Kepala Unit dan staff Unit SM.

Meet

3

- Job description Kepala Unit dan staff Unit SM.

Meet

4

- Belum terdapat PIC yang memiliki sertifikasi terkait pelaksanaan pelatihan seperti Certified Training Professional.

Not Meet

Not Meet Meet

5 RA

- Pihak yang bertanggung jawab adalah Divisi OTI dan PTI, tergantung yang terlibat di dalam proyek.

Status

1 2

3

4

- Job description Kepala Divis PTI dan Divisi OTI - Contoh request for proposal (RFP). - Job description Kepala Divis PTI dan Divisi OTI - Contoh request for proposal (RFP). - Pada saat ini belum terdapat reward culture karena belum dimasukkan dalam KPI.

Meet

Meet

Not Meet

Not Meet

5



78

Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users (lanjutan) MA

Current Condition

GM

Pengukuran dilakukan berdasarkan standar KPI, di mana sisa anggaran budget minimal 10% dan over budget dilakukan maksimal 1 tahun sekali.

ML

Evidence

Status Meet

1 2

- Pelatihan dilakukan untuk karyawan baru

Meet

3

- Pada saat ini belum terdapat mekanisme pengukuran.

Not Meet

4

Not Meet

5

Not Meet

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS7 educate and train users adalah 3,00.

5.2.8

DS8 Manage Service desk and Incidents Proses yang ke delapan pada domain DS adalah manage service desk and

incid. Respon yang tepat waktu dan efektif terhadap permintaan dan masalah dari pengguna, membutuhkan design dan penerapan service desk yang baik serta adanya proses incident management yang jelas. Pada proses ini termasuk pendefinisian fungsi service desk untuk pendaftaran, eskalasi, membuat trend analisys dan mencari root cause serta mencari permanent solution dari suatu masalah. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.10.



79

Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents MA AC

Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi/workshop mengenai pengelolaan service desk dan incident kepada pihak-pihak yang terkait dan kepada karyawan baru. - Telah dilakukan sosialisasi mengenai SLA incident pada forum pembahasan SLQ.

ML

- Pada saat ini sudah terdapat SOP incident management. - Insiden dan service request dapat diisi oleh semua user dengan mengisi ticket request melalui aplikasi service desk. - Di dalam service desk tersebut terdapat workflow yang menggambarkan proses persetujuan dari service request, sejak diisi oleh user hingga akhirnya menjadi solusi. - PIC yang berperan dalam memantau proses di service desk adalah Unit SM. - Terkait penanganan incident, PIC service desk akan memilih kategorisasi, eskalasi insiden, dan closing jika telah diterapkan solusinya.

Status Meet

1 2

- Materi sosialisasi Penggunaan Service desk. - Dokumen SLQ.

Meet

3

- Materi sosialisasi Penggunaan Service desk. - Dokumen SLQ.

Meet

4


Not Meet

- Prosedur Permintaan Layanan. - Prosedur Incident management - Laporan Bulanan OTI. - Prosedur Permintaan Layanan. - Prosedur Incident management. - Laporan SLA Incident. - Laporan SLA Service Request. - Laporan Bulanan OTI. - Prosedur Permintaan Layanan. - Prosedur Incident management. - Laporan SLA Incident. - Laporan SLA Service Request. - Laporan Bulanan OTI.

Meet

5 PPP

Evidence

1 2

3

4

Not Meet Meet

Meet

Meet

Not Meet

5



80

Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents (lanjutan) MA TA

Current Condition - Tools yang digunakan adalah aplikasi service desk untuk seluruh karyawan BEI. - Pada aplikasi service desk ini, apabila service request dan incident telah diselesaikan secara otomatis tiket tersebut akan di update statusnya menjadi resolved. Di mana tiket tersebut dikembalikan ke user dan menunggu tanggapan dengan maksimal 3 hari, apabila tidak ada tanggapan maka akan berubah menjadi closed.

ML

Evidence

Meet

1 2

3

4

- Contoh di Service desk. - Contoh aplikasi Service desk. - Contoh tiket insiden. - Contoh tiket resolve. - Contoh di Service desk. - Contoh aplikasi Service desk. - Contoh tiket insiden. - Contoh tiket resolve. - Contoh di Service desk. - Contoh aplikasi Service desk. - Contoh tiket insiden. - Contoh tiket resolve.

- Dalam meningkatkan keahlian tiap personil telah dilakukan pelatihan ITIL dan pelatihan Service desk. - Di dalam Job description telah terdapat job specification dan requirement untuk masing-masing jabatan. - PIC telah mempunyai sertifikasi ITIL v3.

1

- PIC service desk adalah Unit SM. - First level support untuk incident adalah Unit operasi perkantoran (ITO) dan operasi bisnis (ITB). - Second level support untuk incident adalah Unit NTS - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

Meet

Meet

2

- Job description Unit SM, ITO dan ITB.

Meet

3


Meet

4

- Sertifikat ITIL v3. - Job description Unit SM, ITO dan ITB.

Meet

Not Meet Meet

5 RA

Meet

Not Meet Meet

5 SE

Status

1 2


Meet

3


Meet

4

- KPI Unit SM, ITO dan ITB.

Meet

Not Meet

5



81

Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents (lanjutan) MA

Current Condition

GM

- Pengukuran yang dilakukan dalam proses ini adalah pengukuran SLA incident dan SLA layanan service desk. - Pengukuran tercantum pada KPI Kepala Divisi OTI tercantum pada area Improve availability and reliability of internal IT operation, yaitu : 'Operational Service Index Target: 78% Mencakup pemenuhan: 1. Problem Solving 70%* (bobot 20%) 2. SLA Incident 80% (bobot 40%) 3. SLA Layanan Service desk: 80% (bobot 40%)'.

ML

Evidence

Status Meet

1 2


Meet

3


Meet

4


Meet

Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS8 manage service desk and incidents adalah 3,83, jika dibulatkan ke bawah menjadi 3. 5.2.9

DS9 Manage Configuration Proses yang ke sembilan pada domain DS adalah manage configuration.

Memastikan integritas konfigurasi hardware dan software memerlukan adanya pemeliharaan suatu repositori konfigurasi yang akurat dan lengkap. Proses ini termasuk mengumpulkan informasi konfigurasi awal, membangun baseline, verifikasi dan audit data/informasi konfigurasi serta memperbarui repositori konfigurasi yang disesuaikan dengan kebutuhan. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.11.



82

Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration MA AC

Current Condition - Untuk melakukan awareness dan communication telah dilakukan sosialisasi dengan Divisi PTI. - Pada saat pengembangan sistem baru, dari Divisi PTI meng-update form konfigurasi dan kemudian diserahkan ke Divisi OTI.

ML

- Pada saat ini sudah terdapat prosedur terkait dengan configuration management. - Terdapat form konfigurasi yang berisi konfigurasi asset untuk sistem perkantoran dan sistem perdagangan. - Pengelola konfigurasi apabila terdapat update konfigurasi yang terkait dengan change management adalah Unit SM - Base line konfigurasi telah di susun pada tahun 2009. - Proses review dan audit konfigurasi belum dilakukan secara regular, dibutuhkan adanya tool untuk memudahkan proses review dan audit konfigurasi.

Status Meet

1 2

- Dokumentasi review konfigurasi.

Meet

3

- Dokumentasi review konfigurasi.

Meet

4


Not Meet

- SOP Configuration Management. - Form Konfigurasi. - Lampiran Aturan Penamaan Konfigurasi dan Versioning. - SOP Configuration Management. - Form Konfigurasi. - Lampiran Aturan Penamaan Konfigurasi dan Versioning. - Proses review dan audit konfigurasi belum dilakukan secara regular.

Meet

5 PPP

Evidence

1 2

3

4

Not Meet Meet

Meet

Not Meet Not Meet

5



83

Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration (lanjutan) MA TA

Current Condition - File yang digunakan disimpan di dalam folder sharing. - Identifikasi dan pencatatan asset masih dilakukan secara manual berdasarkan data pengadaan dan survey di lapangan. - Belum terdapat configuration management database (CMDB).

ML

Evidence

Meet

1 2

3

4

- Capture sharing folder yang menyimpan form konfigurasi. - Capture sharing folder yang menyimpan form konfigurasi.

Meet


Not Meet

- Training yang dilakukan untuk proses ini adalah pelatihan ITIL. - PIC yang bertanggung jawab untuk untuk memelihara dokumen konfigurasi sudah mempunyai sertifikasi ITIL.

1 2

- Job description Unit ITO dan ITB.

Meet

3

- Job description Unit ITO dan ITB. - Sertifikat ITIL v3. - Job description Unit ITO dan ITB.

Meet

4

- Pihak yang bertanggung jawab dalam proses ini adalah Divisi OTI yaitu Unit SM, Unit ITB/ITO dan NTS, Divisi PTI yaitu Unit APP dan INT. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

Meet

Not Meet Meet

5 RA

Meet

Not Meet Meet

5 SE

Status

1 2


Meet

3

- Job description Unit ITO dan ITB. - KPI Kepala Unit ITB.

Meet

4

Meet

Not Meet

5



84

Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration (lanjutan) MA GM

Current Condition - Sudah terdapat KPI mengenai configuration management, terkait dengan jumlah review konfigurasi untuk memastikan kebenaran isi dari form konfigurasi.

ML

Evidence

Status Meet

1 2

- KPI Kepala Unit ITB.

Meet

3


Meet

4


Meet

Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS9 manage configuration adalah 3.50, jika dibulatkan ke bawah menjadi 3. 5.2.10 DS10 Manage Problem Proses yang ke sepuluh pada domain DS adalah manage problem. Problem management yang efektif memerlukan identifikasi dan klasifikasi masalah, analisis root cause dan mencari permanent solution dari suatu masalah. Pada proses ini juga mencakup perumusan rekomendasi untuk perbaikan, pemeliharaan dokumentasi permasalahan yang terjadi dan solusi yang digunakan untuk memperbaiki masalah tersebut. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.12.



85

Tabel 5.12 Assessment Maturity Level DS10 Manage Problem MA AC

Current Condition - Untuk melakukan awareness dan communication telah dilakukan sosialisasi mengenai proses ini antara unit ITO&ITB sebagai first level dan unit NTS sebagai 2nd level. - Terdapat laporan penanganan problem kepada kepala Divisi dan Direktur TI.

ML

- Pada saat ini sudah terdapat SOP terkait problem management. - Problem merupakan insiden yang berulang sehingga dibutuhkan sebuah solusi permanen atau incident yang kritikal yang harus dicarikan root cause dan permanent solution-nya sehingga tidak terjadi kembali. - Semua problem dicatat di sistem Service desk, dimonitor, didokumentasikan dan dikomunikasikan kepada pihak-pihak terkait. - Pada saat penanganan problem, Unit NTS akan berkoordinasi dengan vendor pemelihara, Unit operasi dan Divisi PTI (jika diperlukan). - Terdapat laporan bulanan mengenai penanganan problem, disertai dengan analisa root cause dan permanent solution.

Status Meet

1 2

- Laporan penanganan problem.

Meet

3

- Laporan penanganan problem.

Meet

4


Not Meet

- Laporan penanganan problem. - SOP Penanganan Masalah. - Trouble Ticket. - Laporan penanganan problem. - SOP Penanganan Masalah. - Trouble Ticket. - Laporan penanganan problem. - SOP Penanganan Masalah. - Trouble Ticket.

Meet

5 PPP

Evidence

1 2

3

4

Not Meet Meet

Meet

Meet

Not Meet

5



86

Tabel 5.12 Assessment Maturity Level DS10 Manage Problem (lanjutan) MA TA

Current Condition - Problem yang terjadi dilaporkan melalui service desk, kemudian service desk akan transfer ticket problem tersebut kepada unit NTS untuk diselesaikan. - Problem sudah terintegrasi dengan proses pengajuan service request dan incident ticket.

ML

Evidence

Meet

1 2

- Contoh di Service desk. - Contoh tiket problem.

Meet

3


Meet

4


Meet

Not Meet Meet

5 SE

- Untuk meningkatkan keahlian personil dalam proses ini telah dilakukan pelatihan technical seperti database, sistem operasi dan network.

1 2

- Job description Unit NTS.

Meet

3


Meet

4

- Sertifikat database Informix dan linux. - Daftar Pelatihan 2012

Meet

Not Meet Meet

5 RA

- Pihak yang bertanggung jawab dalam mengelola problem adalah Unit NTS. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

Status

1 2


Meet

3


Meet

4

- Job description. Kepala Unit NTS. - KPI Unit NTS.

Meet

Not Meet

5



87

Tabel 5.12 Assessment Maturity Level DS10 Manage Problem (lanjutan) MA

Current Condition

GM

- Pengukuran dilakukan berdasarkan dengan KPI mengenai penanganan problem. - Pengukuran tercantum pada KPI Kepala Divisi OTI dan KPI Kepala Unit NTS yang tercantum pada area Improve availability and reliability of internal IT operation, yaitu : 'Operational Service Index Target: 78% Mencakup pemenuhan: 1. Problem Solving 70%* (bobot 20%) 2. SLA Incident 80% (bobot 40%) 3. SLA Layanan Service desk: 80% (bobot 40%)’.

ML

Evidence

Status Meet

1 2

- KPI Divisi OTI. - KPI Unit NTS.

Meet

3


Meet

4


Meet

Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS10 manage problem adalah 3,83, jika dibulatkan ke bawah menjadi 3. 5.2.11 DS11 Manage Data Proses yang ke sebelas pada domain DS adalah manage data. Manajemen data yang efektif membutuhkan adanya identifikasi kebutuhan data. Proses manajemen data juga mencakup pembuatan prosedur yang efektif untuk mengelola media backup, tata cara backup dan restore data, serta pemusnahan media backup dengan tepat. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.13.



88

Tabel 5.13 Assessment Maturity Level DS11 Manage Data MA AC

Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi secara internal dalam proses ini. - Pasca dilakukan backup, hasilnya dilaporkan kepada user.

ML

- BEI memiliki Pedoman Tata Kelola TI yang mengatur tentang manajemen data. - Backup data dilakukan secara rutin. Backup sistem operasional bisnis dilakukan setiap sore hari (sesuai dengan jadwal). Proses backup sistem perkantoran dilakukan dengan sinkronisasi storage setiap 5 menit ke storage di DRC. - Data historis disimpan dengan masa retensi data selama 5 tahun. - Pengujian restore dilakukan pada saat pengujian internal bulanan DRC. - Laporan backup kepada user belum dilakukan secara regular, sedangkan untuk proses backupnya sendiri sudah dilakukan dengan baik.

Status Meet

1 2

- Contoh laporan backup.

Meet

3

- Contoh laporan backup. - Dokumen SLQ

Meet

4


Not Meet

- SOP Backup data. - Contoh laporan backup. - Laporan Pengujian DRC. - SOP Backup data. - Contoh laporan backup. - Laporan Pengujian DRC. - Laporan backup kepada user belum dilakukan secara regular.

Meet

5 PPP

Evidence

1 2

3

4

Not Meet Meet

Meet

Not Meet Not Meet

5



89

Tabel 5.13 Assessment Maturity Level DS11 Manage Data (lanjutan) MA TA

Current Condition - Tools backup yang digunakan untuk sistem perdagangan adalah brightstore sedangkan sistem perkantoran dibackup dengan memanfaatkan fitur snap mirror untuk sinkronisasi storage.

ML

Evidence

Meet

1 2

- capture tool backup.

Meet

3


Meet

4


Meet Not Meet Meet

5 SE

- Telah dilakukan pelatihan internal terhadap proses backup data dan pelatihan penggunaan tool backup. - Belum terdapat PIC yang memiliki sertifikasi untuk penggunaan tool backup dan backup server storage.

1 2


Meet

3


Meet

4

- Belum terdapat PIC yang memiliki sertifikasi terkait pelaksanaan backup sistem.

Not Meet

Not Meet Meet

5 RA

- Pihak yang bertanggung jawab adalah Level Operasi pada masingmasing Unit (ITB dan ITO). - Staff ITO dan ITB bertanggungjawab melakukan proses backup sesuai dengan prosedur yang berlaku - Kepala Unit ITO dan ITB bertanggungjawab memastikan proses backup rutin berjalan dengan baik dan sesuai rencana. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

Status

1 2

3

4

- Job description Unit ITO. - Job description Unit ITB. - Job description Unit ITO. - Job description Unit ITB. - Job description Unit ITO. - Job description Unit ITB.

Meet

Meet

Meet

Not Meet

5



90

Tabel 5.13 Assessment Maturity Level DS11 Manage Data (lanjutan) MA

Current Condition

GM

- Pengukuran dilakukan berdasarkan KPI dan SLA yang telah ditentukan. - Pengukuran terhadap kepuasan pengguna dengan ketersediaan data sudah dicantumkan/ditambahkan ke dalam form kepuasan pelanggan/user. - Pada KPI kepala Unit operasi sudah tertera sasaran yang ingin dicapai yaitu, proses restore paling tidak berhasil dilakukan 2x dalam satu tahun.

ML

Evidence

Status Meet

1 2


Meet

3


Meet

4


Meet Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS11 manage data adalah 3.50, jika dibulatkan ke bawah menjadi 3. 5.2.12 DS12 Manage The Physical Environment Proses yang ke dua belas pada domain DS adalah manage the physical environment. Perlindungan untuk peralatan komputer dan

personel TI

membutuhkan adanya fasilitas fisik yang dirancang dan dikelola dengan baik. Proses pengelolaan lingkungan fisik meliputi mendefinisikan persyaratan lokasi data center, memilih sarana yang tepat dan merancang proses yang efektif untuk monitoring environmental factors dan mengelola akses fisik ke data center. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.14.



91

Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment MA AC

Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi periodik review tahunan. - Diselenggarakannya pelatihan bagi user tentang data center.

ML

- Materi Training Data Center. - sertifikat CDCP yang dimilik oleh user. - Materi Training Data Center. - sertifikat CDCP yang dimilik oleh user. - Pada saat ini belum terdapat tools untuk membantu peningkatan awareness dan communication.

Meet

2

- Buku tamu di ruang server.

Meet

3

- SOP akses ruang server. - Form akses ruang server. - Buku tamu di ruang server. - Perijinan akses ke ruang data center pada saat ini belum dijalankan secara regular.

Meet

2

4

5 - Pada saat ini sudah terdapat SOP untuk mengatur akses ke ruang server. Bagi orang yang tidak mempunyai akses harus mengajukan permintaan akses ke kepala Unit/kepala Divisi OTI. Ketika masuk ruang data center harus didampingi PIC dari Unit terkait. - Pengelola DRC memiliki SLA 24jam x 7, dan sudah sertifikasi ISO27001. - Perijinan akses ke ruang data center pada saat ini belum dijalankan secara regular, hal ini bisa dilihat dari log buku tamu dan form akses ke data center masih belum sesuai (terdapat perbedaan data). Namun untuk pendampingan pasti dilakukan.

Status Meet

1

3

PPP

Evidence

1

4

Meet

Not Meet

Not Meet Meet

Not Meet

Not Meet

5



92

Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment (lanjutan) MA TA

Current Condition - Physical security sudah diterapkan dengan menggunakan kartu, sidik jari, CCTV, smoke detector, alat pemadam, satpam yang berjaga dengan sistem shift 24 jam. - Integrasi finger print dan card system.

ML

Evidence

Meet

1 2

- Kartu Akses BEI. - Biometric.

Meet

3


Meet

4


Meet

Not Meet Meet

5 SE

- Sudah terdapat PIC yang mempunyai sertifikasi CDCP dan dari business user juga sudah ada yang memiliki sertifikasi CDCP.

1 2

3

4

- Job description Security, Teknisi dan Kepala Divisi Umum - Job description Security, Teknisi dan Kepala Divisi Umum

Meet

- SK Pembentukan SMKI. - Sertifikasi CDCP.

Meet

- Pihak yang bertanggung jawab dalam proses ini adalah Divisi Umum dan Divisi OTI. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

1 2

3

4

Meet

Not Meet Meet

5 RA

Status

- Job description Security, Teknisi dan Kepala Divisi Umum - Job description Security, Teknisi dan Kepala Divisi Umum

Meet

- Job description Kepala Divisi OTI. - KPI Teknisi. - KPI Security. - KPI Koordinator Security.

Meet

Meet

Not Meet

5



93

Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment (lanjutan) MA

Current Condition

GM

- Pengukuran tercantum pada KPI Security, Koordinator Security, Teknisi, serta Sarana dan Prasarana, yaitu sebagai berikut: 1. Melakukan pengamanan pada setiap kegiatan kontraktor atau vendor yang berada di lokasi proyek agar sesuai dengan ketentuan revitalisasi proyek dan pengerjaan sesuai jadwal. 2. Memastikan insfrastruktur penunjang sarana perdagangan yaitu listrik, UPS, AC dengan ketersediaan 100% yang mencakup target 1 down case dan 0,1% down time. 3. Assessment atas pemenuhan standar operasional optimal penunjang perdagangan pada computer room dan lingkungan kerja BEI.

ML

Evidence

Meet

1 2

3

4

Status

- SLA Review Bulanan OTI. - KPI Teknisi. - KPI Security. - KPI Koordinator Security.Divisi UMM. - SLA Review Bulanan OTI. - KPI Teknisi. - KPI Security. - KPI Koordinator Security.Divisi UMM. - KPI Teknisi. - KPI Security. - KPI Koordinator Security.Divisi UMM.

Meet

Meet

Meet

Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS12 manage the physical environment adalah 3.67, jika dibulatkan ke bawah menjadi 3. 5.2.13 DS13 Manage Operations Proses yang ke tiga belas pada domain DS adalah manage operations. Pengolahan data yang lengkap dan akurat membutuhkan manajemen yang efektif untuk prosedur pengolahan data dan pemeliharaan perangkat keras yang baik. Proses ini termasuk menentukan kebijakan operasional dan prosedur manajemen yang efektif untuk penjadwalan kegiatan, melindungi output yang sensitif, monitoring performamance dari infrastruktur dan memastikan terselenggaranya preventive maintenance. Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.15.



94

Tabel 5.15 Assessment Maturity Level DS13 Manage Operations MA AC

Current Condition - Untuk meningkatkan awareness dan communication telah dilakukan sosialisasi kepada divisi user dan Unit yang terkait, training penggunaan tools setiap pengadaan perangkat/aplikasi, training penerapan SOP, instruksi kerja, dan checklist operasional. - Adanya serah terima pekerjaan antar shift.

ML

2

3

4

TA

- BEI melakukan backup data dilakukan secara rutin dan melakukan pengujian restore untuk tape backup. - BEI menerapkan job scheduling dilakukan untuk memenuhi kebutuhan bisnis seperti job scheduling untuk backup data. - Monitoring terhadap infrastruktur diterapkan sebagai usaha perlindungan atas aset TI. - Maintenance hardware dikelola untuk mengurangi kemungkinan terjadinya kegagalan dalam operasional. - BEI menerapkan perlindungan physical access dan logical access. - Tools yang digunakan dalam melakukan monitoring bisnis adalah a. Openview yang digunakan untuk mengetahui availability server. b. whatsup gold untuk mengetahui koneksi dari Anggota Bursa (AB) ke BEI dengan memasang agent di router AB, sedangkan untuk office menggunkan solarwind. - Backup dibantu dengan tool brightstore dan snap mirror.

- Form serah terima operasional. - Form serah terima shift. - Form serah terima operasional. - Form serah terima shift.

Meet


Not Meet

- Checklist operasional - Form serah terima operasional dan serah terima shift. - Checklist operasional - Form serah terima operasional dan serah terima shift. - Checklist operasional - Form serah terima operasional dan serah terima shift.

Meet

1 2

3

4

Status Meet

1

5 PPP

Evidence

Meet

Not Meet Meet

Meet

Meet

5

Not Meet

1

Meet

2

- Capture tool monitoring. - Capture tool backup.

Meet

3


Meet

4


Meet

Not Meet

5



95

Tabel 5.15 Assessment Maturity Level DS13 Manage Operations MA SE

Current Condition - Pelatihan spesifik yang dibutuhkan adalah Database, Programming, Networking dan Operation System. - Belum terdapat sertifikasi ITIL, tool monitoring dan tool backup pada PIC di Unit operasi.

ML

Evidence

Meet

1 2

- Job description unit ITB, ITO dan NTS.

Meet

3

- Job description unit ITB, ITO dan NTS. - Belum terdapat PIC yang memiliki sertifikasi terkait pelaksanaan operasional harian (ITIL).

Meet

4

- Pihak yang bertanggung jawab terhadap proses ini adalah Divisi OTI, khususnya pada Unit ITB dan ITO. - Keberhasilan dalam memenuhi KPI akan mempengaruhi performance evaluation dan berpengaruh kepada perhitungan bonus.

1 2

3

4

Not Meet

Not Meet Meet

5 RA

Status

- Job description Unit ITO. - Job description Unit ITB. - Job description Unit ITO. - Job description Unit ITB. - Job description Unit ITO. - Job description Unit ITB.

Meet

Meet

Meet

Not Meet

5



96

Tabel 5.15 Assessment Maturity Level DS13 Manage Operations MA

Current Condition

GM

- Pengukuran dilakukan berdasarkan KPI service request dan SLA Office yang telah ditentukan. 'Pengukuran tercantum pada KPI Kepala Divisi OTI tercantum pada area Improve availability and reliability dan achieve high availability and realiability of internal IT operation, yaitu : 1. Operational Service Index Target: 78% Mencakup pemenuhan: - Problem Solving 70%* - SLA Incident 80% - SLA Layanan Service desk: 80% 2. Downtime trading system: 0,25% atau 6 jam (saham) 3. Trading facility recovery time Target: 2012: Max. 2 jam (diluar disaster); Max. 6 jam (DRC siap). 4. Maximum number of website down cases: 6. 5. Maximum number of IDXnet down cases: 6 6. % of datafeed downtime: 0,25% atau maksimum 6 jam.

ML

Evidence

Meet

1 2

3

4

Status

- KPI Kepala Divisi OTI. - KPI Kepala Unit ITO dan ITB. - KPI Kepala Divisi OTI. - KPI Kepala Unit ITO dan ITB.

Meet

- KPI Kepala Divisi OTI. - KPI Kepala Unit ITO dan ITB.

Meet

Meet

Not Meet

5

Berdasarkan hasil assessment nilai maturity level dari setiap maturity attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS13 manage operation adalah 3.67, jika dibulatkan ke bawah menjadi 3.



97

5.2.14 Nilai Kemapanan untuk domain DS Berdasarkan hasil assessment di atas dapat diketahui nilai maturity level dari setiap maturity attribute pada tabel 5.16. Tabel 5.16 nilai maturity level pada domain DS Kode

Proses

Awareness and Communication

Policies, Plans and Procedures

Tools and Automation

Skills and Expertise

Responsibility and Accountability

Goal Setting and Measurement

Rata-Rata

DS1

Define and manage service levels.

3

3

4

4

4

4

3.67

DS2

Manage third-party services.

3

3

3

3

4

4

3.33

DS3

Manage performance and capacity.

4

3

4

4

3

2

3.33

DS4

Ensure continuous service.

3

3

3

3

4

4

3.33

DS5

Ensure systems security.

3

4

4

3

3

2

3.17

DS6

Identify and allocate costs.

3

3

4

4

4

4

3.67

DS7

Educate and train users.

3

4

3

3

3

2

3

DS8

Manage service desk and incidents.

3

4

4

4

4

4

3.83

DS9

Manage the configuration.

3

3

3

4

4

4

3.5

DS10

Manage problems.

3

4

4

4

4

4

3.83

DS11

Manage data.

3

3

4

3

4

4

3.5

DS12

Manage the physical environment.

3

3

4

4

4

4

3.67

DS13

Manage operations.

3

4

4

3

4

4

3.67



98

Nilai maturity level dari suatu proses pada domain DS didapatkan dari rata-rata maturity level dari setiap attribute. Setelah diketahui nilai maturity level dari setiap proses dapat diketahui nilai maturity level rata-rata untuk domain DS adalah 3.5, kalau dibulatkan ke bawah menjadi 3. 5.3

Rekomendasi Perbaikan Setelah melakukan assessment di atas, langkah selanjutnya adalah

membuat rekomendasi berdasarkan hasil assessment maturity level untuk setiap maturity attribute. Berikut ini akan disampaikan rekomendasi untuk peningkatan nilai maturity level untuk setiap maturity attribute yang nilainya masih di bawah 4, akan dibuatkan rekomendasi untuk mencapai nilai maturity level 4. Detil dari rekomendasi dapat dilihat pada tabel 5.17. Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute Proses

Attribute

Rekomendasi

DS1

DS1AC

Perusahaan direkomendasikan untuk mengembangkan tools yang digunakan untuk melakukan survey kepuasan pelanggan, serta untuk monitoring SLA. Tools yang dibuat bisa seperti forum menggunakan vbuletin atau LimeSurvey.

DS1PPP

Perusahaan direkomendasikan untuk melakukan penunjukan PIC IT governance pada setiap Unit di Divisi OTI sehingga pembuatan laporan SLA dapat lebih konsisten.

DS2

DS2AC

Perusahaan direkomendasikan untuk mengembangkan tools yang digunakan untuk melakukan pengelolaan atas data vendor dan monitoring kinerja vendor.

DS2PPP

Perusahaan direkomendasikan untuk melakukan update pada SOP Pemeliharaan dan Evaluasi Sistem untuk menambahkan mekanisme teguran dan menambahkan kebijakan audit vendor.

DS2TA

Perusahaan direkomendasikan untuk mengembangkan tools yang digunakan untuk melakukan pengelolaan atas data vendor dan monitoring kinerja vendor. Misalnya tools yang dapat diintegrasikan dengan sistem service desk.

DS2SE

Perusahaan direkomendasikan untuk mengikuti pelatihan Certified IT Vendor Management atau ITIL versi 3.



99

Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute Proses

Attribute

Rekomendasi

DS3

DS3PPP

Perusahaan direkomendasikan untuk melakukan update pada SOP Capacity Management untuk menambahkan kegiatan pengukuran kapasitas pada saat implementasi sistem baru, enhancement atau update versi aplikasi.

DS3RA

Perusahaan direkomendasikan untuk menambahkan pada KPI kepala Unit dan staf tentang pengukuran capacity sehingga jika dilakukan dengan baik akan meningkatkan benefit bagi karyawan tersebut.

DS3GM

Menyusun pengukuran dalam mengelola kinerja dan kapasitas yaitu sebagai

berikut:

1. Pengukuran terhadap jumlah jam yang hilang per pengguna dalam sebulan

karena

tidak

cukupnya

perencanaan

kapasitas.

2. Pengukuran persentase terhadap target pemanfaatan yang telah terlampaui. DS4

DS4AC

Perusahaan direkomendasikan untuk mengembangkan aplikasi yang dapat digunakan untuk menyediakan informasi terkait BCM. Contoh : portal, milis.

DS4PPP

Perusahaan direkomendasikan untuk melakukan update pada SOP Incident management terkait mekanisme untuk aktivasi DRC.

DS4TA

Perusahaan direkomendasikan untuk mengembangkan aplikasi yang dapat digunakan untuk menyediakan informasi terkait BCM. Contoh : aplikasi knowledge management yang nantinya dapat diintegrasi dengan aplikasi service desk.

DS4SE

Perusahaan direkomendasikan untuk memberikan pelatihan dan sertifikasi terkait business continuity management seperti CBCP (certified business continuity profesional).

DS5

DS5AC

Perusahaan direkomendasikan untuk mengembangkan tools/aplikasi yang dapat memberikan informasi terkait keamanan informasi. Contoh: portal

DS5SE

Perusahaan direkomendasikan untuk mengikuti sertifikasi Certified Information Security Manager (CISM) bagi pihak yang terkait system security.

DS5RA

Perusahaan direkomendasikan untuk menambahkan pada KPI kepala Unit dan staf untuk memastikan information security sehingga jika dilakukan dengan baik akan meningkatkan benefit bagi karyawan tersebut.



100

Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute (lanjutan) Proses

Attribute

Rekomendasi

DS5

DS5GM

Menyusun pengukuran dalam memastikan keamanan sistem, yaitu sebagai

berikut:

1.Jumlah insiden yang berdampak kepada reputasi Perusahaan 2. Jumlah sistem yang tidak memenuhi persyaratan keamanan informasi 3. Jumlah pelanggaran dalam segregation of duties. DS6

DS6AC

Perusahaan direkomendasikan untuk mengembangkan tools yang dapat digunakan untuk menginformasikan biaya yang telah digunakan ke pihak-pihak terkait.

DS6PPP

-

Perusahaan

direkomendasikan

untuk

melakukan

perhitungan

pengembalian atas investasi (ROI) dalam setiap pengembangan. Selain itu dibutuhkan juga metode pengukuran yang komprehensif seperti information economics. - Perusahaan direkomendasikan untuk menerapkan IT chargeback. Membuat prosedur untuk pemberlakuan chargeback. DS7

DS7AC

Perusahaan

direkomendasikan

communication

yang

dapat

untuk

mengembangkan

digunakan

untuk

tools

melakukan

training/sosialisasi aplikasi/teknologi yang baru (e-learning). DS7TA

Perusahaan

direkomendasikan

communication

yang

dapat

untuk

mengembangkan

digunakan

untuk

tools

melakukan

training/sosialisasi aplikasi/teknologi yang baru misalnya e-learning atau knowledge management. DS7SE

Perusahaan direkomendasikan untuk mengikuti Certified Training Professional (CTP).

DS7RA

Perusahaan direkomendasikan untuk menambahkan pada KPI kepala Unit dan staf untuk memastikan kebutuhan training bagi user sehingga jika dilakukan dengan baik akan meningkatkan benefit bagi karyawan tersebut.

DS7GM

Menyusun pengukuran dalam memastikan training untuk user, yaitu sebagai berikut: 1. Frekuensi training kepada user 2. Time lag antara dibutuhkannya suatu pelatihan dengan pelaksanaan pelatihan.



101


Attribute

Rekomendasi

DS8

DS8AC

Perusahaan direkomendasikan untuk mengembangkan aplikasi yang dapat memberikan informasi status proses penanganan insiden ke pihakpihak terkait dan bisa memungkinkan user untuk memberikan feedback atas pelayanan yang telah diberikan.

DS9

DS9AC

Perusahaan direkomendasikan untuk menggunakan tools otomatis dalam mengelola dan memonitor konfigurasi.

DS9PPP

Perusahaan direkomendasikan untuk melakukan penunjukan PIC IT governance pada setiap Unit di Divisi OTI dan mengembangkan tool untuk memudahkan dalam melakukan review konfigurasi.

DS9TA

Perusahaan direkomendasikan untuk menggunakan tools otomatis dalam mengelola dan memonitor konfigurasi (CMDB) yang terintegrasi dengan aplikasi service desk.

DS10

DS10AC

Perusahaan direkomendasikan untuk mengembangkan aplikasi yang dapat memberikan informasi status proses penanganan problem ke pihak-pihak terkait dan bisa memungkinkan user untuk memberikan feedback atas pelayanan yang telah diberikan.

DS11

DS11AC

Perusahaan direkomendasikan untuk menggunakan tools otomatis dalam mengelola media library, dan backup/restoration data.

DS11PPP

Perusahaan

direkomendasikan

untuk

melakukan

update

pada

mekanisme pelaporan kepada user dengan meng-update form laporan hasil backup, form dilaporkan kepada Kepala Divisi OTI dan Direktur TI, kemudian hasilnya disampaikan kepada user. DS7SE

Perusahaan direkomendasikan untuk mengikuti training sertifikasi backup data, misalnya sertifikasi untuk fitur snap mirror dari storage netapp.

DS12

DS12AC

Perusahaan direkomendasikan untuk mengembangkan tools monitoring yang terintegrasi sms gateway dan sistem exchange (Alert System).

DS12PPP

Perusahaan direkomendasikan untuk melakukan penunjukan staff IT governance untuk meningkatkan kepatuhan dalam permintaan ijin akses ke ruang server.



102


Attribute

Rekomendasi

DS13

DS13AC

Perusahaan direkomendasikan untuk menggunakan tools otomatis untuk melakukan operasional TI, dimana operasional akhirnya dijalankan sesuai task yang telah ditetapkan.

DS13SE

- Perusahaan direkomendasikan untuk menyusun training plan bagi masing-masing fungsi sesuai skill yang harus dimiliki. Misalnya ITIL untuk Unit operasi, yang saat ini belum dimiliki oleh perusahaan.

Berdasarkan hasil rekomendasi yang telah disusun di atas, secara garis besar rekomendasi yang diusulkan dapat dikategorisikan sebagai berikut: Tabel 5.18 Rekapan Rekomendasi

Rekomendasi

Maturity Attribute Awareness

and Melakukan penambahan ataupun pengembangan tools

Communication

untuk meningkatkan awareness and communication dengan pihak-pihak terkait. ((DS1AC, DS2AC, DS4AC, DS5AC, DS6AC, DS7AC, DS8AC, DS9AC, DS10AC, DS11AC, DS12AC, DS13AC)

Policies, Plans and 1.

Melakukan update dokumen SOP. (DS2PPP, DS3PPP,

Procedures

DS4PPP, DS6PPP, DS11PPP).

2.

Melakukan penunjukan staff yang bertanggung jawab pada pelaksanaan IT Governance pada masing-masing unit kerja. (DS1PPP, DS9PPP, DS12PPP)

3.

Melakukan otomasi proses SOP yang masih manual dengan melakukan pengembangan tools. (DS9PPP)

Tools

and Melakukan pengembangan tools untuk meningkatkan

Automation

kinerja operasional. (DS2TA, DS4TA, DS7TA, DS9TA)

Skills and Expertise

Menyelenggarakan pelatihan yang bersertifikasi untuk meningkatkan kemampuan personil TI, khususnya di Divisi Operasi TI. (DS2SE, DS4SE, DS5SE, DS7SE, DS11SE, DS13SE)



103

Tabel 5.18 Rekapan Rekomendasi (lanjuta)

Rekomendasi

Maturity Attribute

Responsibility and Menambahkan KPI untuk proses-proses yang saat ini masih Accountability

belum ditentukan measurement-nya serta menunjuk PIC yang bertanggung jawab untuk KPI tersebut. (DS3RA, DS5RA, DS7RA)

Goal Setting and Menambahkan KPI untuk proses-proses yang saat ini masih Measurement

belum ditentukan measurement-nya serta menunjuk PIC yang bertanggung jawab untuk KPI tersebut. (DS3GM, DS5GM, DS7GM)

5.4

Risk Assessment untuk Menentukan Prioritas Rekomendasi Setelah diketehui daftar rekomendasi yang harus dilakukan, langkah

selanjutnya adalah menentukan prioritas dari setiap rekomendasi dengan menggunakan bantuan metode risk management. Dalam hal ini akan dilakukan risk assessment berdasarkan identifikasi risiko yang mungkin timbul karena belum diterapkannya rekomendasi perbaikan yang telah disampaikan di atas. Identifikasi risiko tersebut juga disesuaikan dengan risk driver (ITGI, 2007) yang terdapat pada control practice Cobit. Hasil risk assessment ini diharapkan dapat menjadi salah satu pertimbangan bagi management dalam menentukan rekomendasi yang akan diterapkan terlebih dahulu. Sebelum melakukan risk assessment, terlebih dahulu akan disampaikan mengenai klasifikasi dampak dari sisi financial dan likelihood yang akan digunakan dalam risk assessment. Adapun klasifikasi dampak dan likelihood dibagi menjadi 5 level, detilnya dapat dilihat pada tabel 5.19 dan tabel 5.20. Sangat Tinggi Berdampak pada kerugian financial lebih besar dari Rp. 250.000.000,-

Tabel 5.19. Klasifikasi Dampak Manajemen Risiko BEI Tinggi Sedang Rendah Berdampak pada kerugian financial lebih besar dari Rp. 50.000.000,sampai dengan Rp. 250.000.000,-

Berdampak pada kerugian financial lebih besar dari Rp. 10.000.000,sampai dengan Rp. 50.000.000,-

Berdampak pada kerugian financial lebih besar dari Rp. 5.000.000,sampai dengan Rp. 10.000.000,-

Sangat Rendah Berdampak pada kerugian financial kurang dari Rp. 5.000.000,-



104

Tabel 5.20. Klasifikasi likelihood Manajemen Risiko BEI Sangat Tinggi Tinggi Sedang Rendah Lebih dari 6 kali dalam 1 tahun

Lebih dari 4 kali sampai dengan 6 kali dalam 1 tahun



Sangat Rendah Terjadi maksimal 1 kali dalam 1 tahun

Langkah selanjutnya adalah menentukan risk matrix berdasarkan nilai likelihood dan dampak di atas. Risk matrix yang telah disusun dapat dilihat pada tabel 5.21. Tabel 5.21 Risk Matrix Impact

Sangat Rendah

Rendah

Sedang

Tinggi

Sangat Tinggi

Sangat Rendah

Rendah

Rendah

Rendah

Sedang

Kritis

Rendah

Rendah

Rendah

Sedang

Tinggi

Kritis

Sedang

Rendah

Rendah

Sedang

Tinggi

Kritis

Tinggi

Rendah

Sedang

Tinggi

Kritis

Kritis

Tinggi

Tinggi

Tinggi

Kritis

Kritis

Likelihood

Sangat Tinggi

Klasifikasi likelihood dan dampak serta penentuan risk matrix yang digunakan dalam penelitian ini mengacu kepada pedoman manajemen risiko yang diterapkan di PT BEI. Setelah ditentukan mengenai

klasifikasi likelihood, dampak dan risk

matrix maka selanjutnya akan mulai dilakukan risk assessment yang detail-nya dapat dilihat pada tabel 5.22. Kode

Identifikasi Risiko

Tabel 5.22 Risk Assessment Dampak Likelihood

Risk

Mitigasi

exposure RA1

Adanya perbedaan interpretasi dan

miss

mengenai

Rendah

Sedang

Rendah

DS1AC

Rendah

Rendah

Rendah

DS1PPP

komunikasi service

yang

disediakan oleh TI. RA2

Kekecewaan pengguna karena kurangnya informasi, terlepas dari kualitas layanan



105

Tabel 5.22 Risk Assessment (lanjutan) Identifikasi Risiko Dampak Likelihood

Kode

Risk

Mitigasi

exposure RA3

Vendor tidak responsif atau

Sedang

Sedang

Sedang

DS2AC

Tinggi

Rendah

Sedang

DS2PPP,

berkomitmen pada hubungan kerjasama. RA4

RA5

Adanya kinerja yang kurang baik dan pelanggaran yang

DS2TA,

dilakukan oleh pihak ketiga

DS2SE

Terjadinya

downtime

karena

Tinggi

Rendah

Sedang

DS3PPP

Sedang

Sedang

Sedang

DS3RA

Sedang

Sedang

Sedang

DS3GM

Tinggi

Rendah

Sedang

DS4AC,

peningkatan kapasitas pada saat implementasi sistem baru. RA6

Kurangnya karena

motivasi

kerja

belum

adanya

benefit

peningkatan

ketika

sudah melakukan pekerjaannya dengan baik RA7

Kemungkinan tidak tercapainya target

dari

karena

suatu

pekerjaan

target

belum

dirumuskan secara jelas. RA8

Kurangnya

pengetahuan

mengenai proses BCP dan tidak

DS4TA,

mengetahui apa yang harus

DS4SE

dilakukan saat terjadi disaster. RA9

Adanya keterlambatan aktivasi

Sangat

Sangat

DRC

suatu

Tinggi

rendah

Adanya pelanggaran keamanan

Sedang Tinggi

ketika

terjadi

Tinggi

DS4PPP

Sedang

Sedang

DS5AC

Rendah

Sedang

DS5SE

insiden/problem. RA10

informasi oleh pihak internal RA11

Adanya kesalahan konfigurasi perangkat

security

kesalahan

dalam

ataupun pemilihan

perangkat security



106


Kode

Risk

Mitigasi

exposure RA12

Kurangnya

motivasi

menjalankan

untuk

Sedang

Sedang

Sedang

DS5RA

Sedang

Sedang

Sedang

DS5GM

Tinggi

Rendah

Sedang

DS6AC,

kebijakan

keamanan informasi RA13

Kemungkinan tidak tercapainya target

dari

karena

suatu

pekerjaan

target

belum

dirumuskan secara jelas. RA14

Keputusan

investasi

berdasarkan

informasi

biaya

DS6PPP

tidak valid. RA15

Penggunaan diukur

layanan

kurang

gagal

untuk

dan

mencerminkan

Sedang

Rendah

Sedang

DS6PPP

Sedang

Sedang

Sedang

DS7AC,

penggunaan

bisnis yang sebenarnya. RA16

Adanya kesalahan user dalam menggunakan atau

sistem

perangkat TI

TI

DS7TA,

karena

DS7SE,

kurangnya pelatihan.

DS7RA, DS7GM

RA17

Kurangnya

perbaikan

Rendah

Sedang

Rendah

DS8AC

Rendah

Sedang

Rendah

DS9AC,

pelayanan penanganan incident karena kurangnya feedback dari user. RA18

Adanya

kesalahan

dalam

pencatatan konfigurasi asset TI

DS9PPP,

atau lupa untuk melakukan

DS9TA

update pencatatan konfigurasi. RA19

Waktu

penanganan

suatu

Sedang

Sedang

Sedang

DS10AC

Rendah

Sedang

Rendah

DS11AC,

problem yang terlalu lama. RA20

Terdapat

kesalahan

penyimpanan dan

media

kegagalan

backup

DS11PPP

dalam

melakukan restore.



107

Kode


Risk

Mitigasi

exposure RA21

Kegagalan dalam melakukan

Tinggi

Rendah

Sedang

DS11SE

Rendah

Rendah

Rendah

DS12AC,

backup data ataupun backup sistem. RA22

Adanya

pihak

yang

tidak

mempunyai authorisasi masuk

DS12PPP

ke ruang server. RA23

Ketidakmampuan untuk cepat menangani operasional,

Sedang

Rendah

Sedang

masalah staf

baru

DS13AC, DS13SE

dan

perubahan operasional.

Risk assessment tersebut dilakukan penulis dengan tim internal Divisi Operasi TI, untuk menentukan nilai impact dan likehood dari setiap risiko yang diidentifikasi di atas. Risiko yang mempunyai risk exposure yang tinggi akan lebih diprioritaskan untuk menerapkan control yang dapat digunakan untuk mitigasi risiko tersebut. 5.5

Validasi Rekomendasi Langkah selanjutnya yang dilakukan adalah melakukan validasi dan

konfirmasi hasil rekomendasi dengan internal Divisi Operasi TI. Hal ini dilakukan dengan metode focus group discussion (FGD). Validasi rekomendasi yang disampaikan disusun berdasarkan maturity attribute, detilnya dapat dilihat pada tabel 5.23.



108

Tabel 5.23 Validasi Hasil Rekomendasi MA

Rekomendasi

Prioritas

Tanggapan

Risiko AC

Memberikan

usulan

melakukan

untuk

Rendah (RA1,

Menyetujui

rekomendasi

atau

RA17, RA18,

selanjutnya

akan

RA20, RA22)

optimalisasi

penambahan

pengembangan

tools

meningkatkan

awareness

untuk and

communication. (DS1AC, DS2AC, DS4AC,

DS5AC,

DS6AC,

DS7AC,

DS8AC,

DS9AC,

DS10AC,

DS11AC,

DS12AC,

Sedang (RA3, RA8,

RA10,

RA14, RA16, RA19, RA23)

resource (HRIS)

dan

melakukan

aplikasi

human

information

system

dengan

menambahkan

forum IT governance pada aplikasi tersebut. Target Agustus 2013.

DS13AC) PPP

1. Melakukan update dokumen

Sedang (RA4)

akan dikenakan bagi vendor yang

SOP, yang meliputi: a. SOP

PPP

1. Mengenai mekanisme teguran

Pemeliharaan

dan

kinerjanya kurang baik. Target

Evaluasi Sistem, dengan

Januari 2013.

menambahkan mekanisme

2. Menangai kebijakan audit hanya

teguran dan kebijakan audit

dilakukan bagi vendor core sistem.

vendor. (DS2PPP)

Target Januari 2013. Capacity

b. SOP Management,

dengan

menambahkan

kegiatan

Sedang (RA5)

Menyetujui usulan penambahan pengukuran kapasitas pada saat adanya

enhancement

atau

pengukuran kapasitas pada

implementasi sistem baru. Target

saat

Januari 2013.

dilakukan

implementasi sistem baru ataupun

pengembangan

sistem.

Hal

dengan

ITIL

ini

sesuai

versi

3.

(DS3PPP) PPP

c. SOP Incident Management, dengan

Tinggi (RA9)

Menyetujui usulan penambahan

menambahkan

mekanisme aktivasi DRC pada

mekanisme aktivasi DRC.

SOP incident management, untuk

(DS4PPP)

melakukan hal tersebut diperlukan koordinasi

dengan

unit

BCM.

Target Desember 2012.



109

Tabel 5.23 Validasi Hasil Rekomendasi (lanjutan) MA

Rekomendasi

Prioritas

Tanggapan

Risiko PPP

d. Pembuatan

prosedur

Chargeback,

IT

dengan

Sedang (RA14

1.

Menyetujui

dan RA15)

penerapan

pembuatan prosedur baru dan

namun

metode

harus

untuk

mengukur

suatu investasi. (DS6PPP)

usulan

chargeback,

IT untuk

untuk

penerapannya

berkoordinasi

dengan

direktorat yang lain dan Divisi keuangan. Target Juli 2013. 2.

Menyetujui

perhitungan

investasi dan pengukuran ROI, dimulai pada saat pengajuan proyek untuk tahun 2013. Target Maret 2013. PPP

e. Melakukan

update

Rendah

Menyetujui usulan untuk update

mekanisme

pelaporan

(RA20)

mekanisme

backup. (DS11PPP)

penyempaian

laporan backup. Target Januari 2013.

PPP

staff

Rendah (RA2,

Menyetujui usulan untuk

yang bertanggung jawab pada

RA18, RA222)

melakukan penunjukan staff IT

2. Melakukan

penunjukan

pelaksanaan IT Governance pada

governance pada setiap Unit.

masing-masing

Unit

kerja,

a. Unit SM: Henny Susanti

terutama

proses-proses

b. Unit ITB: Adita Qintara

untuk

berikut ini:

c. Unit ITO: Anindita Saktiaji

a. Pelaporan

SLA

bulanan.

(DS1PPP) b. Review

konfigurasi

d. Unit NTS: Elsierra Putri Yosita

secara

rutin. (DS9PPP) c. Perijinan untuk masuk ke ruang server. (DS12PPP)

Pemilihan nama-nama di atas didasarkan kepada: 1. Pengetahuan IT governance 2. Pengamatan kondisi seharihari dalam menjalankan tata kelola. 3. Merupakan staff baru (kurang dari 1 tahun) sehingga lebih aware akan tata kelola Target Januari 2013.



110


Rekomendasi

Prioritas

Tanggapan

Risiko PPP

3. Melakukan otomasi proses SOP yang

manual

dengan

Menyetujui

usulan

untuk

(RA18)

melakukan

pengadaan

tools

melakukan pengembangan tool,

CMDB yang akan diintegrasikan

yaitu:

dengan sistem Service desk.

a.

TA

masih

Rendah

Tool

membantu

Pada saat ini sebenarnya sudah

proses review konfiigurasi.

dalam

(DS9PPP)

Target April 2013.

Melakukan untuk

untuk

pengembangan

meningkatkan

tools

Sedang (RA4)

kinerja

pengembangan.

Menyetujui usulan ini, mungkin bisa dilakukan dengan membuka akses aplikasi service desk ke

operasional, yaitu: a.

tahap

Tool untuk memudahkan dalam

pihak ketiga (vendor). Untuk

melakukan manage third party

melakukan

service. (DS2TA)

dilakukan kajian keamanannya.

hal

ini

perlu

Target pertengahan tahun karena menunggu risikonya

hasil

kajian

juga

tidak

dan

terlalu

tinggi. Target Maret 2013. TA

b.

Implementasi tool Knowledge

Sedang (RA8

Menyetujui

usulan

untuk

Management untuk sosialisasi

dan RA16)

melakukan

pengadaan

tools

penggunaan DRC dan untuk

knowledge management, akan

memudahkan dalam melakukan

tetapi

pelatihan bagi user. (DS4TA

dilakukan

dan DS7TA)

terkait

pengadaan pada

bisa

tahun

dengan

anggaran

baru

2014

penyusunan

dan

dokumen

IT

Master Plan. Target tahun 2014. TA

c.

Tool untuk membantu proses

Rendah

Menyetujui

usulan

untuk

review konfiigurasi. (DS9TA)

(RA18)

melakukan

pengadaan

tools

CMDB yang akan diintegrasikan dengan sistem Service desk. Pada saat ini sebenarnya sudah dalam

tahap

pengembangan.

Target April 2013.



111


Rekomendasi

Prioritas

Tanggapan

Risiko SE

Menyelenggarakan pelatihan yang

Sedang (R4)

Menyetujui

dilaksanakannya

bersertifikasi untuk meningkatkan

pelatihan, hanya saja terdapat

kemampuan personil TI, khususnya

batasan dalam 1 tahun maksimal

di Divisi Operasi TI. Daftar pelatihan

20% dari jumlah karyawan dari

yang dibutuhkan yaitu:

Divisi yang dapat mengambil

a.

IT vendor management, untuk

pelatihan

pengelolaan vendor. (DS2SE)

orang).

bersertifikasi

(4

vendor

Pelatihan

management untuk unit NTS. Target Maret 2013 SE

b. Certified

business

continuity

Sedang (R8)

Sehubungan

dengan

professional, untuk perencanaan

knowledge

business

diimplementasi

continuity

planning.

(DS4SE)

aplikasi

management tahun

baru 2014,

maka untuk pelatihan ini juga ditunda

sampai

tahun

2014

(proses ini tidak bisa mencapai nilai

4

pada

tahun

2013).

Pelatihan CBCP untuk unit ITB. Target Februari 2014. SE

c.

Certified Information Security Manager,

untuk

Sedang (R11)

pengelolaan

Pelatihan CISM untuk unit NTS. Target Februari 2013.

information security. (DS5SE) SE

d. Certified Training Professional, untuk

pelaksanaan

kepada user. (DS7SE)

training

Sedang (R16)

Pelatihan CTP untuk unit SM. Sehubungan knowledge

dengan

aplikasi

management

diimplementasi

tahun

baru 2014,

maka untuk pelatihan ini juga ditunda

sampai

tahun

2014

(proses ini tidak bisa mencapai nilai 4 pada tahun 2013). Target Maret 2014



112


Rekomendasi

Prioritas

Tanggapan

Risiko SE

e.

NetApp Certified Backup and Recovery, backup

untuk dan

Sedang (R21)

pengelolaan

restore

Pelatihan tool backup untuk unit ITO. Target Maret 2013.

data.

(DS11SE) SE

f.

ITIL versi 3, untuk pengelolaan

Sedang (R23)

operasional. (DS13SE) RA

Pelatihan ITIL untuk unit ITB. Target Februari 2013.

Menambahkan KPI untuk proses-

Sedang (RA6,

Menyetujui

penambahan

KPI

proses yang saat ini masih belum

RA12, RA16)

yang akan mulai dimasukkan

ditentukan measurement-nya serta

untuk KPI pada tahun 2013.

menunjuk PIC yang bertanggung

Target Januari 2013.

jawab untuk KPI tersebut. Terdapat beberapa

proses

yang

belum

mempunyai KPI, yaitu: a.

Pengelolaan kapasitas. (DS3RA)

b. Pengelolaan

keamanan

informasi. (DS5RA) c.

Pemberian

pelatihan

kepada

user. (DS7RA) GSM

Menambahkan KPI untuk proses-

Sedang (RA7,

Menyetujui

penambahan

KPI

proses yang saat ini masih belum

RA13, RA16)

yang akan mulai dimasukkan

ditentukan measurement-nya serta

untuk KPI pada tahun 2013.

menunjuk PIC yang bertanggung

Target Januari 2013.

jawab untuk KPI tersebut. Mengenai KPI yang akan ditambahkan sama dengan rekomendasi pada attribute responsibility

and

accountability.

(DS3GM, DS5GM, DS7GM)



113

5.6

Pembuatan Program dengan Bantuan ITIL Setelah rekomendasi perbaikan dilakukan validasi, selanjutnya adalah

melakukan program yang dapat dilakukan dalam 2 bulan, yaitu: 1.

Melakukan update SOP dan melakukan sosialisasi SOP yang telah diperbaharui. Dalam melakukan update SOP akan memperhatikan panduan yang terdapat pada ITIL. a. SOP Pemeliharaan dan Evaluasi Sistem (Lampiran 2) 

Melakukan penambahan kebijakan pemberian teguran kepada vendor yang kinerjanya kurang baik. Hal ini mengacu pada proses supplier management yang terdapat di ITIL. Tabel 5.24 Supplier Management

Sub Proses

Rencana Perbaikan

Providing the Supplier Management Framework

Tidak ada

Evaluation of new Suppliers and Contracts Establishing new Suppliers and Contracts Processing of Standard Orders Supplier and Contract Review

Tidak ada Tidak ada Tidak ada a.

Diperlukan adanya evaluasi rutin dan

pemberian

teguran

jika

kinerjanya tidak sesuai kesepakatan yang terdapat di dalam kontrak b.

Dibutuhkan

adanya

penambahan

klausula mengenai audit vendor secara

rutin

untuk

memastikan

kualitas layanan Contract Renewal or Termination

Tidak ada



114

b. SOP Capacity Management (Lampiran 3) 

Melakukan penambahan kebijakan pelaksanaan pengukuran kapasitas pada saat dilakukan implementasi sistem baru atau enhancement sistem eksisting. Hal ini mengacu pada proses capacity management yang terdapat di ITIL. Tabel 5.25 Capacity Management

Sub Proses

Rencana Perbaikan

Business Capacity Management

Tidak ada

Service Capacity Management

Dibutuhkan kapasitas

adanya pada

saat

pengukuran dilakukannya

implementasi sistem baru untuk selalu menjaga ketersediaan dan performance sistem Component Capacity Tidak ada Management Capacity Management Tidak ada Reporting

c. SOP Incident Management (Lampiran 4 & 5) 

Melakukan penambahan kebijakan mengenai batasan waktu untuk aktivasi DRC ketika terjadi gangguan pada severity 1. Hal ini mengacu pada proses incident management yang terdapat di ITIL.



Membuat tingkatan saverity dan pembangian waktu untuk problem solving dari suatu gangguan. Tabel 5.26 Incident Management

Sub Proses

Rencana Perbaikan

Incident Management Support

Tidak ada



115

Tabel 5.26 Incident Management (lanjutan)

Sub Proses

Rencana Perbaikan

Incident Logging and Categorization

Pada saat melakukan kategorisasi, harus dilihat urgency dari incident tersebut, hal ini terkait system readiness yang harus dijaga untuk mendukung sistem perdagangan.

Immediate Incident Resolution by 1st Level Support Incident Resolution by 2nd Level Support Handling of Major Incidents

Tidak ada Tidak ada Dibutuhkan

adanya

batasan

waktu

dalam mencari solusi dan ketentuan mengenai aktivasi DRC sesuai dengan kebutuhan bisnis.

Incident Monitoring and Escalation Incident Closure and Evaluation Pro-Active User Information Incident Management Reporting

Tidak ada Tidak ada Tidak ada Tidak ada

d. SOP Backup Rutin (Lampiran 6 & 7) 

Melakukan penambahan kebijakan mengenai pelaporan hasil backup akan dikirimkan kepada seluruh Kepala Divisi user setelah mendapatkan persetujuan dari Kepala Divisi OTI.

 2.

Melakukan update form pelaporan hasil backup.

Melakukan update job description untuk staff yang telah ditunjuk menjadi staff IT governance pada masing-masing Unit, yaitu: a. Ibu Henny Susanti: Memastikan penerepan prosedur di unit SM dapat berjalan dengan baik dan melaporkan hasilnya secara rutin kepada Kepala Unit SM.



116

b. Bapak Adita Qintara: Memastikan penerepan prosedur di unit ITB dapat berjalan dengan baik dan melaporkan hasilnya secara rutin kepada Kepala Unit ITB. c. Bapak Anindita Saktiaji: Memastikan penerepan prosedur di unit ITO dapat berjalan dengan baik dan melaporkan hasilnya secara rutin kepada Kepala Unit ITO. d. Ibu Elsierra Putri Yosita: Memastikan penerepan prosedur di unit NTS dapat berjalan dengan baik dan melaporkan hasilnya secara rutin kepada Kepala Unit NTS. 3.

Melakukan penambahan KPI untuk tahun 2013. a. KPI untuk pengukuran kapasitas ditambahkan pada KPI Unit ITO dan ITB, yaitu target kapasitas dari suatu sistem tidak boleh melebihi 80% dari total kapasitas sistem. b. KPI untuk pengkuran keamanan informasi ditambahkan pada KPI unit NTS, yaitu target tidak terdapat temuan major pada saat dilakukan pengujian kemanan. c. KPI untuk pengukuran training kepada user ditambahkan pada KPI unit SM, yaitu target dalam 1 tahun minimal dilakukan pelatihan sebanyak 2 kali.



6

BAB VI

KESIMPULAN DAN SARAN

6.1

Kesimpulan Kesimpulan yang dapat diambil dari penelitian ini adalah sebagai berikut: 1.

Tingkat kemapanan (maturity level) tata kelola TI untuk domain DS pada PT BEI menurut cobit 4.1 adalah 3.5

2.

Mengidentifikasi prosedur yang perlu disempurnakan mengacu pada tingkat kemapanan Cobit dan ITIL versi 3. a. SOP Pemeliharaan dan Evaluasi Sistem, dengan menambahkan mekanisme teguran dan kebijakan audit vendor. b. SOP Capacity Management, dengan menambahkan kegiatan pengukuran kapasitas pada saat dilakukan implementasi sistem baru ataupun pengembangan sistem. c. SOP Incident Management, dengan menambahkan mekanisme aktivasi DRC. d. Pembuatan prosedur IT Chargeback, dengan pembuatan prosedur baru dan metode untuk mengukur suatu investasi. e. Update pada form laporan backup, dengan melakukan perubahan form laporan hasil backup.

3.

Rekomendasi untuk peningkatan nilai kemapanan pada domain DS antara lain: Tabel 6.1 Usulan Rekomendasi

Rekomendasi

Maturity Attribute Awareness

and Melakukan

Communication

pengembangan

penambahan tools

untuk

ataupun meningkatkan

awareness and communication dengan pihakpihak terkait

117



118

Tabel 6.1 Usulan Rekomendasi (lanjutan)

Rekomendasi

Maturity Attribute Policies,

Plans 1.

and Procedures

2.

Melakukan update dokumen SOP Melakukan

penunjukan

staff

yang

bertanggung jawab pada pelaksanaan IT Governance pada masing-masing unit kerja 3.

Melakukan otomasi proses SOP yang masih

manual

dengan

melakukan

pengembangan tools. Tools Automation Skills Expertise

and Melakukan

pengembangan

tools

untuk

meningkatkan kinerja operasional and Menyelenggarakan pelatihan yang bersertifikasi untuk meningkatkan kemampuan personil TI, khususnya di Divisi Operasi TI.

Responsibility and Menambahkan KPI untuk proses-proses yang Accountability

saat ini masih belum ditentukan measurementnya serta menunjuk PIC yang bertanggung jawab untuk KPI tersebut.

Goal Setting and Menambahkan KPI untuk proses-proses yang Measurement

saat ini masih belum ditentukan measurementnya serta menunjuk PIC yang bertanggung jawab untuk KPI tersebut.

4.

Program yang dibuat dalam 2 bulan antara lain: a. Melakukan update SOP 1. SOP Pemeliharaan dan Evaluasi Sistem 2. SOP Capacity Management 3. SOP Incident Management 4. SOP Backup Rutin



119

b. Melakukan update job description untuk staff yang telah ditunjuk menjadi staff IT governance pada masing-masing Unit, yaitu: 1. Unit SM:Ibu Henny Susanti 2. Unit ITB: Bapak Adita Qintara 3. Unit ITO: Bapak Anindita Saktiaji 4. Unit NTS: Ibu Elsierra Putri Yosita c. Melakukan penambahan KPI untuk tahun 2013. 1. KPI untuk pengukuran kapasitas ditambahkan pada KPI Unit ITO dan ITB, yaitu target kapasitas dari suatu sistem tidak boleh melebihi 80% dari total kapasitas. 2. KPI untuk pengkuran keamanan informasi ditambahkan pada KPI unit NTS, yaitu target tidak terdapat temuan major pada saat dilakukan pengujian kemanan. 3. KPI untuk pengukuran training kepada user ditambahkan pada KPI unit SM, yaitu target dalam 1 tahun minimal dilakukan pelatihan sebanyak 2 kali.

6.2

Saran Saran yang dapat diberikan dari penelitian ini adalah sebagai berikut: 1.

Penelitian tingkat kemapanan (maturity level) tata kelola TI untuk pada PT BEI dapat dikembangkan untuk mengukur tinggkat kemapanan pada domain yang lain, yaitu domain PO, domain AI dan domain ME. Dalam melakukan assessment dibutuhkan adanya koordinasi dengan pihak-pihak yang terkait dan dibutuhkan evidance yang jelas mengenai penerapan suatu prosedur, tools yang digunakan, sertifikasi personil TI, pembagian kerja berdasarkan job description dan key performance indicator (KPI) dari setiap Divisi. Adapun pihak-pihak yang terlibat adalah a. Domain PO adalah Divisi Pengembangan Solusi Teknologi Informasi khususnya unit Quality Assurance, Divisi Operasi



120

Teknologi Informasi khususnya unit Sistem Manajemen dan Divisi Manajemen Risiko. b. Domain AI adalah Divisi Pengembangan Solusi Teknologi Informasi khususnya unit Quality Assurance dan Divisi Operasi Teknologi Informasi khususnya unit Sistem Manajemen c. Domain ME adalah Divisi Operasi Teknologi Informasi khususnya unit Sistem Manajemen dan Divisi Manajemen Risiko. 2.

Membuat strategi change management untuk implementasi tools baru yang direkomendasikan dari karya akhir ini seperti implementasi aplikasi knowledge management yang akan diterapkan kepada seluruh Divisi di PT BEI.



7 1.

Referensi

Applegate, Lynda M, dkk. Corporate Information Strategy and Management. New York: McGraw-Hill Education. International Edition, 8th Edition. 2009

2.

Van Grembergen, ‘Strategies for information technology governance: An interview with Wim Van Grembergen’, in Information Management; 17, 1/2, Spring 2004.

3.

Peterson, Ryan, ‘Configurations and coordination for global information technology governance: Complex designs in a transnational European context’ in Proceedings of the 34th Hawaii International Conference on System Sciences, 2001

4.

Weill, P. and J. Ross, IT governance: How top performers manage it decision rights for superior results, Harvard Business School Press, Boston, 2004.

5.

Luftman, Jerry N., Paul R Lewis and Scott H Oldach, ‘Transforming the enterprise: The alignment of business and information technology’ in IBM Systems Journal; Vol. 32, No. 1, 1993

6.

Standards Australia dan Standards New Zealand, (2004). “Risk Management”. Sydney.

7.

Stoneburner, at all. (2002). “Risk Management Guide for IT System”. Gaithersburg: National Institute of Standards and Technology.

8.

IT Governance Institute (2007). Control Objectives for Information and related Technology (COBIT) 4.1. ISACA Journal 1-190.

9.

ITGI, (2003). ‘Board briefing in IT governance, 2nd edition’, IT Governance Institute, available at http://www.itgi.org.

10.

ITGI, IT Governance and Process Maturity, ITGI, 2008.

11.

COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition, 2007.

12.

Sasongko, Nanang, 2009, Pengukuran Kinerja Teknologi Informasi Menggunakan Framework COBIT Versi. 4.1, Pada Pt.Bank X Tbk. di

121



122

Bandung (Seminar Nasional Aplikasi Teknologi Informasi 2009 (SNATI 2009) ISSN: 1907-5022 Yogyakarta, 20 Juni 2009) 13.

Tanuwijaya, Haryanto and Sarno, Riyanarto, 2010, Comparation of COBIT Maturity Model and Structural Equation Model for Measuring the Alignment between University Academic Regulations and Information Technology Goals, IJCSNS International Journal of Computer Science and Network Security, VOL.80 10 No.6, June 2010



123

8

Lampiran 1 Wawancara

Wawancara I Hari/Tanggal : Selasa, 4 Desember 2012 Tempat

: Ruang Kepala Divisi Operasi TI

Peserta

: Kepala unit dan perwakilan staff Divisi OTI

Tujuan

: Untuk mengetahui kondisi eksisting penerapan SOP



Pada saat menurut Bapak/Ibu sekalian, secara garis besar bagaimana penerapan prosedur di PT BEI, khususnya di Divisi OTI? Pada saat ini penerapan prosedur di Divisi OTI sudah berjalan dengan baik, jika terdapat beberapa kekurangan lebih kepada penerapannya yang kurang konsisten



Pada saat ini terdapat berapa prosedur di Divisi OTI? Pada saat ini terdapat sekitar 25 SOP yang berlaku.



Prosedur apa saja yang terdapat di unit ITO? Prosedur yang berlaku di unit ITO adalah: SOP backup, SOP penanganan incident, SOP monitoring, SOP akses ruang server, SOP manajemen pelayanan dan SOP manajemen user account.



Apakah terdapat kendala/masalah dalam pelaksanaan SOP? Dalam pelaksanaan SOP, kendala yang dihadapi adalah masalah reporting yang kurang konsisten. Pada saat ini untuk operasional cukup terbantu dengan adanya tools backup dan tool monitoring.



Prosedur apa saja yang terdapat di unit ITB? Terdapat beberapa prosedur yang hamper sama dengan ITO, perbedaannya adalah SOP startup sistem karena sistem perdagangan harus di start setiap hari bursa. Sedangkan sistem perkantoran dibiarkan hidup dan hanya direstart atau dimatikan jika dilakukan pemeliharaan atau ada kebutuhan khusus.



Apakah terdapat kendala/masalah dalam pelaksanaan SOP?



124

Hampir sama dengan kendala yang dihadapi oleh unit ITO, kendala yang dihadapi adalah masalah konsistensi, terutama untuk akses ruang server. 

Prosedur apa saja yang terdapat di unit SM? Prosedur yang berlaku di unit SM adalah: SOP permintaan layanan, SOP persediaan perangkat dan lisensi, SOP konfigurasi, SOP kapasitas, dan SOP change management



Apakah terdapat kendala/masalah dalam pelaksanaan SOP? Kendala yang ditemui terutama mengenai belum adanya tools untuk membantu mengelola konfigurasi dan persediaan perangkat serta lisensi



Prosedur apa saja yang terdapat di unit NTS? SOP yang berlaku di unit NTS adalah SOP pemeliharaan sistem, SOP penanganan masalah, dan SOP update patch.



Apakah terdapat kendala/masalah dalam pelaksanaan SOP? Adanya kendala yang ditemui dilingkungan kerja adalah koordinasi dengan vendor terutama mengenai penanganan masalah, perlu ditingkatkan awareness dan perlu juga diberikan teguran jika melakukan pelanggaran atau kinerjanya dianggap kurang baik.



125

Wawancara II Hari/Tanggal : Jumat, 21 Desember 2012 Tempat

: Ruang Meeting 6B

Peserta

: Kepala Divisi OTI dan Kepala unit

Tujuan

:

Penyampaian

hasil

rekomendasi

dan

validasi

hasil

rekomendasi Berikut ini akan disampaikan beberapa rekomendasi yang dibuat berdasarkan hasil assessment nilai maturity cobit untuk 13 proses pada domain DS. Rekomendasi disusun berdasarkan maturity attribute yaitu: awareness & communication, policies, plan & procedures, tools & automation, skills&expertise, respondsibility & accountability dan goal setting & measurements. 1. Mengenai rekomendasi peningkatan awareness & communication, perusahaan diusulkan untuk membuat tools untuk meningkatkan komunikasi dengan pihak internal maupun eksternal, bisa dibuat forum seperti kaskus. Bagaimana tanggapan dari Bapak-Bapak sekalian? Mengenai forum komunikasi saat ini, pada saat ini sebenarnya untuk tiap proyek sudah dibuatkan milis proyek untuk meningkatkan komunikasi. Namun untuk sarana komunikasi yang lebih resmi memang belum tersedia. Salah satu usulannya mungkin bisa ditambahkan pada forum SDM yang terdapat pada aplikasi HRIS. Nanti mengenai pembagian hak akses akan dibicarakan dengan Divisi SDM dan vendor pembuat aplikasi. Karena risikonya juga tidak terlalu tinggi, pada pertengahan tahun depan kemungkinan bisa dikerjakan sedangkan pada awal tahun depan bisa dimulai untuk diskusi mengenai mekanisme penyesuaian di aplikasinya. 2. Mengenai rekomendasi peningkatan policies, plan & procedures, perusahaan

diusulkan

untuk

melakukan

update

beberapa SOP,

melakukan penunjukan staff IT governance dan menyediakan tools untuk



126

membantu pelaksanaan SOP. Bagaimana tanggapan dari Bapak-Bapak sekalian? a.

Mengenai update SOP, terutama yang terkait penanganan insiden dan keterkaitannya dengan aktivasi DRC harus cepat dilakukan karena risikonya tinggi jika masih ada yang kurang clear. Mengenai prosedur yang lain juga harus cepat dikerjakan, untuk mencegah terjadinya kesalahan operasional, diharapkan pada awal tahun sudah tersedia SOP yang baru. Khusus mengenai usulan penerapan IT chargeback, secara garis besar menyetujui

usulan

tersebut,

namun

untuk

penerapannya

harus

berkoordinasi dengan direktorat yang lain dan Divisi keuangan. Pada saat ini bisa dimulai untuk melakukan identifikasi layanan apa yang perlu untuk di charge dan disusun tarif yang sesuai serta melakukan studi banding penerapan IT chargeback di perusahaan lain. Untuk hal ini mengingat tingkat kesulitan dan risikonya tidak terlalu tinggi, mungkin setelah pertengahan tahun sekaligus penyusunan RKAT dapat ditargetkan untuk live. b.

Mengenai adanya usulan penunjukan staff IT governance sehingga lebih accountable, usulan tersebut bisa diterima nantinya akan ditunjuk PIC dari masing-masing unit, diharapkan yang mempunyai pengetahuan mengenai tata kelola dan orang yang taat akan SOP. Kalau bisa dari staff eksisting sehingga tidak perlu lama menunggu rekrutmen karyawan baru, namun jika kurang personil nanti parallel bisa dilakukan penambahan karyawan. Walaupun risikonya tidak terlalu tinggi, tapi hal ini tidak kompleks sehingga diharapkan pada awal tahun sudah dapat ditunjuk PIC-nya.

c.

Tools untuk membantu pengelolaan konfigurasi (CMDB) saat ini sudah dikembangkan, diharapkan pada kuartal pertama tahun depan sudah dapat mulai dipergunakan.



127

3. Mengenai rekomendasi peningkatan tools & automation, perusahaan diusulkan menyediakan tools untuk membantu pelaksanaan operasional. Bagaimana tanggapan dari Bapak-Bapak sekalian? a.

Menyetujui usulan untuk penyediaan aplikasi yang terhubung dengan vendor, mungkin bisa dilakukan dengan membuka akses aplikasi service desk ke pihak ketiga (vendor). Untuk melakukan hal ini perlu dilakukan kajian keamanannya. Target pertengahan tahun karena menunggu hasil kajian dan risikonya juga tidak terlalu tinggi.

b.

Menyetujui usulan untuk melakukan pengadaan tools knowledge management, akan tetapi pengadaan baru bisa dilakukan pada tahun 2014 terkait dengan penyusunan anggaran dan dokumen IT Master Plan. Sehingga untuk proses ini kayaknya tidak bisa mencapai nilai 4 pada tahun 2013.

c.

Untuk tools CMDB, sama seperti jawaban di atas.

4. Mengenai rekomendasi peningkatan skills & ekspertise, perusahaan diusulkan untuk menyelenggarakan pelatihan bersertifikasi. Bagaimana tanggapan dari Bapak-Bapak sekalian ? a.

Menyetujui dilaksanakannya pelatihan, hanya saja terdapat batasan dalam 1 tahun maksimal 20% dari jumlah karyawan dari Divisi yang dapat mengambil pelatihan bersertifikasi (4 orang).

b.

Pemilihan unit untuk mengikuti pelatihan disesuaikan dengan job description dari unit tersebut dan disesuaikan dengan target pencapaian tingkat maturity pada tahun 2013 untuk 75% proses di domain DS mencapai level 4.

c.

Dalam hal ini karena untuk penyediaan aplikasi knowledge management baru bisa dilakukan pada tahun 2014 maka pelatihan yang terkait dengan proses tersebut juga akan ditunda sampai tahun 2014 yaitu proses ensure continuous service dan educate & train users.



128

d.

Untuk pelatihan yang lain, diharapkan dapat dilakukan awal tahun 2013 mengingat manfaat, tingkat kesulitannya juga tidak besar serta tingkat risikonya.

5. Mengenai rekomendasi peningkatan respondsibility & accountability dan goal setting & measurements, perusahaan diusulkan untuk menetapkan beberapa tambahan KPI. Bagaimana tanggapan dari Bapak-Bapak sekalian ? Menyetujui usulan penambahan KPI, dapat mulai ditambahkan pada KPI tahun 2013 yang akan disusun di bulan Januari 2013. Pembagian KPI akan disesuaikan job description pada masing-masing unit kerja. a. Pengelolaan kapasitas untuk unit ITO & ITB. (DS3RA) b. Pengelolaan keamanan informasi untuk unit NTS. (DS5RA) c. Pemberian pelatihan kepada user untuk unit SM. (DS7RA)



129

9

Lampiran 2 Penyesuaian SOP Pemeliharaan Sistem

Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan dan uraian prosedur (diberi warna abu-abu). Detil dari prosedur yang telah disesuaikan adalah sebagai berikut: 1.

KEBIJAKAN 1.1. Pemeliharaan perangkat dan sistem TI mengacu pada perjanjian/kontrak yang disepakati kedua belah pihak (PT BEI dan vendor) dengan berpedoman pada SLA sistem terkait ISO yang telah ditetapkan PT BEI sebgai contoh: o

Pemeliharaan infrastruktur perdagangan, aplikasi network monitoring remote trading

dilakukan 4 kali dalam 1 tahun; o

Pemeliharaan aplikasi remote trading dilakukan 12 kali dalam 1 tahun;

o

Pemeliharaan aplikasi sistem perkantoran dilakukan 12 kali dalam 1 tahun

o

Pemeliharaan server-server dan sistem office dilakukan 4 kali dalam 1 tahun

1.2. Ruang lingkup pekerjaan pemeliharaan internal BEI sebagai berikut: 1.

Aplikasi dan database oleh VENDOR;

2.

Operating System, Hardware dan Network oleh VENDOR.

1.3. Pelaksanaan pemeliharaan harus disetujui oleh KaDiv OTI dan/atau KaDiv User 1.4. Preventif: Dilakukan analisa terhadap checklist kegiatan maintenance yang akan dilakukan oleh vendor. 1.5. Korektif: Membuat incident request jika terjadi temuan selama atau setelah maintenance sehingga bisa dilakukan perbaikan. 1.6. Non-conformities: Perangkat yang mengalami gangguan akan diservice, jika tidak bisa diperbaiki akan diganti dengan perangkat baru dengan pengajuan service request oleh Kanit Operasional terkait. 1.7. Evaluasi: Dilakukan analisa dan evaluasi pelaksanaan prosedur pemeliharaan perangkat setiap 6 bulan dengan membuat laporan evaluasi dan tindak lanjut kedepan. 1.8. Pengelola sistem yang dipelihara OTI User

Sistem dan Perangkat TCC: MKBDT, DB-ANGT

ANG



130

JATS,JATS-

PSH,PUD

RT,JOTS,BILLING_INFO,DATAFEED,SMARTS,FITS, FATS,CTP,MOFIDs HRIS

SDM

Sistem Keuangan

KEU

Sistem – sistem Office (Server, Workplace, Anti spam, Anti

OTI

Virus, Mail) Alteon E-Reporting

PPJ, PPR

Website

SPR

APNAB

WAS

DRC: MKBDD, DB-ANGD JATS,

JATS-RT,

ANG JOTS,

BILLING_INFO,DATAFEED,

PSH,PUD

SMARTS HRIS

SDM

Sistem Keuangan

KEU

Sistem – sistem Office (Server, Workplace)

OTI

1.9. A. Penjelasan Kriteria Penilaian Maintanance yang bersifat mandatory: 1. Waktu Maintanance Pada kriteria ini dapat dikatakan sesuai, jika waktu pelaksanaan maintenance dan pemberitahuan pelaksanaan maintanance sesuai dengan perjanjian kontrak pemeliharaan antara perusahaan yang terkait dengan PT BURSA EFEK INDONESIA. Pada kriteria ini dikatakan tidak sesuai, jika waktu jika waktu pelaksanaan maintenance atau pemberitahuan pelaksanaan maintanance tidak sesuai dengan perjanjian kontrak pemeliharaan antara perusahaan yang terkait dengan PT BURSA EFEK INDONESIA. 2. Prosedur Maintanance Pada kriteria ini dapat dikatakan sesuai checklist, jika prosedur pelaksanaan maintenance sesuai dengan dokumen checklist maintanance yang dibuat oleh vendor dan sudah direview serta disetujui oleh pihak PT BURSA EFEK INDONESIA. Pada kriteria ini dapat dikatakan tidak sesuai checklist, jika prosedur pelaksanaan maintenance tidak sesuai dengan dokumen checklist maintanance yang dibuat oleh vendor dan sudah direview serta disetujui oleh pihak PT BURSA EFEK INDONESIA. 3. Rekomendasi Maintanance



131

Pada kriteria ini dapat dikatakan sesuai jika pada saat maintenance, pihak vendor memberikan rekomendasi yang perlu dilakukan untuk mencegah munculnya problem sampai maintenance berikutnya dilakukan. Pada kriteria ini dikatakan tidak sesuai jika pada saat maintenance, pihak vendor tidak memberikan rekomendasi yang perlu dilakukan akan tetapi muncul problem setelah maintenance tersebut selesai dilakukan. Oleh karena itu, pemberian penilaian rekomendasi maintenance ini baru akan dilakukan pada 2 minggu sesudah maintenance atau saat maintenance berikutnya akan dilakukan. Hal ini dilakukan untuk melihat kemungkinan adanya problem yang muncul akibat kelalaian vendor memberikan rekomendasi. B. Penjelasan Kriteria Penilaian Problem Solving yang bersifat mandatory: 1. Waktu Problem Solving Pada kriteria ini dapat dikatakan sesuai SLA kontrak, jika waktu problem solving sesuai dengan SLA yang terdapat pada perjanjian kontrak pemeliharaan antara perusahaan yang terkait dengan PT BURSA EFEK INDONESIA. Pada kriteria ini dikatakan tidak sesuai SLA kontrak, jika waktu problem solving tidak sesuai dengan SLA yang terdapat pada perjanjian kontrak pemeliharaan antara perusahaan yang terkait dengan PT BURSA EFEK INDONESIA. 2. Hasil Problem Solving Pada kriteria ini dapat dikatakan Operational Sistem Normal, jika hasil problem solving tersebut bisa membuat operasional sistem berjalan normal sesuai dengan keadaan semula. Pada kriteria ini dikatakan Operational Sistem Tidak Normal, , jika hasil problem solving tersebut tidak bisa membuat operasional sistem berjalan normal sesuai dengan keadaan semula. Berikut ini merupakan bobot untuk maintanance dan problem solving. Maintanance

: 55%

Problem Solving

: 45%

Bila selama maintenance tidak terdapat problem yang terjadi maka bobot untuk maintenance sebagai berikut: Maintanance

: 100%

Problem Solving

: 0%

Berikut ini merupakan sistem scoring yang akan digunakan untuk masing-masing kriteria baik



132

maintanance maupun problem solving. Pada form evaluasi vendor, scoring ini dimasukkan pada bagian catatan : Tabel 9.1. Sistem score Score

Level

0 =< X <=1

Tidak Sesuai

2 =< X <=3

Sesuai

Measurement : 0 : Jika kesalahan tersebut tidak bisa ditolerir, misalnya sampai mengganggu aktivitas bisnis 1 : Jika kesalahan tersebut masih dalam batas kewajaran, tidak sampai menggangu aktivitas bisnis 2 : Sesuai dengan kontrak 3 : Sesuai penilaian ITO/ITB/NTS kegiatan pemeliharaan melebihi apa yang ada dalam kontrak Pengambilan Keputusan. Berikut ini merupakan kategori hasil evaluasi dari vendor, sesuai dengan hasil perhitungan proses scoring. Pada pengambilan keputusan ini menggunakan tingkat service level mencapai 98% (SLA bisnis 97,5%) : Tabel 9.2. Kategori hasil evaluasi Kategori

Nilai hasil evaluasi

Keterangan

Baik

>= 0.98

Diperpanjang

Buruk

< 0.98

Tender Ulang

Unit SM akan melakukan summary dari dokumen evaluasi rekanan yang telah dibuat dengan format sebagai berikut:



133

Untuk selanjutnya akan dijadikan dasar (dilampirkan) pada form Service Request 1.10. PT BEI berhak memberikan teguran terhadap vendor jika hasil evaluasi kinerja vendor tidak sesuai dengan SLA yang telah dijanjikan. Kesalahan dari vendor yang layak diberikan teguran adalah 1.

Melewati SLA untuk problem solving, baik respond time, onsite maupun resolution time

2.

Lupa dalam memberikan rekomendasi perbaikan

3.

Tidak melakukan kegiatan preventive maintenance sesuai dengan scope pekerjaan.

Pemberian teguran dilakukan dengan mengirimkan surat teguran kepada vendor sesuai dengan kesalahan yang telah dibuat. 1.11. Melakukan audit secara rutin terhadap vendor yang menyediakan layanan kepada PT BEI seperti vendor penyedia jaringan untuk kegiatan perdagangan saham. 2.

URAIAN PROSEDUR : No

Nama Pelaksana/Uraian

Dokumen

KaUnit OPR OFF/OPR BIS/User 1.

Mengajukan kegiatan pemeliharaan beserta analisa estimasi dampak

Log Jadwal

kegiatan pemeliharaan untuk diberikan kepada KaDiv OTI dan/atau

Pemeliharaan

KaDiv User;

Perangkat dan sistem TCC FORM-OTI-018-01

KaDiv dan KaUnit User 2.

Review dampak kegiatan pemeliharaan;

FORM-OTI-018-01

3.

Menyetujui kegiatan pemeliharaan;

FORM-OTI-018-01

KaDiv OTI 4.

Review dampak kegiatan pemeliharaan;

FORM-OTI-018-01

5.

Menyetujui kegiatan pemeliharaan dan melaporkan kepada Direktur

FORM-OTI-018-01



134

TI; KaDiv OTI 6.

Disposisi kepada Unit NTS untuk pelaksanaan kegiatan

FORM-OTI-018-01

pemeliharaan; KaUnit NTS 7.

Disposisi kepada Staf Unit NTS untuk pelaksanaan kegiatan

FORM-OTI-018-01

pemeliharaan; Staf NTS 8.

Melakukan pemeliharaan perangkat dan sistem TI dengan jadwal

FORM-OTI-018-01

pelaksanaan mengacu kepada jadwal yang tertera di Form Pemeliharaan Perangkat dan sistem OTI dan sesuai dengan ruang lingkup pekerjaan; 9.

Memastikan bahwa perangkat dan sistem TI dapat beroperasi

FORM-OTI-018-01

sebagaimana mestinya; 10.

Jika pemeliharaan selesai dilakukan, lengkapi Form Evaluasi

FORM-OTI-018-01

Pemeliharaan Perangkat dan sistem OTI;

FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04

11.

Memberikan rekomendasi untuk pemberian teguran jika terdapat

FORM-OTI-018-01

kesalahan yang dilakukan oleh vendor serta membuat draft surat

FORM-OTI-018-

teguran;

02 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran

12.

Melaporkan hasil pemeliharaan kepada KaUnit NTS

FORM-OTI-018-01 FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran

KaUnit NTS 13.

Review hasil kegiatan pemeliharaan serta mereview hasil

FORM-OTI-018-01

rekomendasi pemberian teguran yang diusulkan oleh staff unit NTS;

FORM-OTI-01802



135

FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran 14.

Memberikan hasil pemeliharaan kepada KaUnit OPR OFF/OPR

FORM-OTI-018-01

BIS/User;

FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran

KaUnit OPR OFF/OPR BIS/User 15.


FORM-OTI-018-01



16.

Melaporkan hasil pemeliharaan kepada KaDiv OTI

FORM-OTI-018-01 FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04 Surat Teguran

KaDiv OTI 17.


FORM-OTI-018-01



18.

Jika pengajuan pemeliharaan dilakukan oleh User, maka KaDiv OTI

FORM-OTI-018-01

memberikan Formulir Pemeliharaan Perangkat dan sistem OTI

FORM-OTI-018-

kepada KaDiv User untuk ditandatangani (lanjut ke butir 28);

02 FORM-OTI-018-03 FORM-OTI-018-04

19.

Memberikan paraf formulir kinerja vendor. Sedangkan tenda tangan

FORM-OTI-018-01

formulir kinerja vendor baru akan dilakukan jika penilaian

FORM-OTI-018-



136

rekomendasi maintanance sudah dilakukan.

02 FORM-OTI-018-03 FORM-OTI-018-04

20.

Memberikan persetujuan pada surat teguran jika vendor memang

FORM-OTI-018-01

terbukti bersalah.


21.

Jika pengajuan pemeliharaan dilakukan oleh KaUnit OPR OFF/OPR

FORM-OTI-018-01

BIS, maka Formulir Pemeliharaan Perangkat, formulir evaluasi

FORM-OTI-018-

kinerja vendor dan sistem OTI dikembalikan kepada KaUnit OPR

02

OFF/OPR BIS

FORM-OTI-018-03 FORM-OTI-018-04

KaDiv dan KaUnit User 22.

Review hasil kegiatan pemeliharaan;

FORM-OTI-018-01 FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04

23.

Mengembalikan Formulir Pemeliharaan Perangkat, formulis evaluasi FORM-OTI-018-01 kinerja vendor dan sistem OTI kepada Divisi OTI

FORM-OTI-01802 FORM-OTI-018-03 FORM-OTI-018-04



137

10 Lampiran 3 Penyesuaian SOP Capacity Management Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan (diberi warna abu-abu). Detil dari prosedur yang telah disesuaikan adalah sebagai berikut: KEBIJAKAN 1. 2. 3. 4. 5. 6. 7.

8. 9. 10. 11.

Kegiatan pengukuran kapasitas dan performance asset TI dilakukan secara rutin 3 bulan sekali untuk sistem: JATS, JATS-RT, Datafeed-MDDS, SMARTS, Workplace, MKBD, Domain Controller, DBANG, APNAB, DBWAS, Exchange dan IDXNET. Periode pengukuran adalah 3 bulan dan setelah data terkumpul selama 1 tahun (4 periode baru akan dilakukan forecasting). Pengukuran kapasitas dilakukan berdasarkan data dari tool monitoring. Data yang digunakan untuk pengukuran adalah data yang tertinggi dan trend yang didapat dari tool monitoring baik di area bisnis maupun office. Pengukuran kapasitas juga dilakukan pada saat dilakukan implementasi sistem baru dan ketika dilakukan enhancement atau update versi pada sistem eksisting. Kegiatan pengukuran juga dapat dilakukan ketika dibutuhkan, yaitu pada saat akan diimplementasikan sistem baru, adanya upgrade, atau versi baru, untuk melihat trend dan kemungkinan kapasitas dalam beberapa waktu ke depan. Berdasarkan hasil data pengukuran kapasitas, jika kondisi exsisting sudah mencapai 60% (treshold) diperlukan adanya suatu assessment dan tindaklanjut, mulai dari perbaikan, penambahan sampai penggantian asset TI tersebut Berdasarkan data yang didapatkan akan dilakukan forecast kapasitas dan performance asset TI untuk jangka waktu 1 tahun kedepan. Metode peramalan yang akan digunakan akan dipilih berdasarkan tipe datanya, adapun metode yang akan dipakai adalah sebagai berikut: 1. Regression untuk data yang mempunyai trend 2. Moving Average untuk data yang mempunyai tipikal mendekati suatu nilai (nilai rata-rata). Preventif Adanya data hasil monitoring sistem perkantoran dan perdagangan. Korektif Melakukan update data pada form rekapitulasi kapasitas. Nonconformities Dokumen yang dihasilkan akan di-destroy. Evaluasi Dilakukan analisa dan evaluasi pelaksanaan prosedur capacity planning setiap 6 bulan dengan membuat laporan evaluasi dan tindak lanjut kedepan.



138

11 Lampiran 4 Penyesuaian SOP Incident Management Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan dan uraian prosedur (diberi warna abu-abu). Detil dari prosedur yang telah disesuaikan adalah sebagai berikut:

1.

KEBIJAKAN 1. Service desk dan Staf unit IT Office / IT Bisnis harus melakukan monitoring pencapaian Operation Level (OL) dan Update status untuk setiap insiden yang terjadi. 2. Semua insiden (termasuk insiden keamanan informasi) harus dicatat di sistem Service desk, dimonitor, didokumentasikan dan dikomunikasikan kepada pihak-pihak terkait. 3. Yang termasuk ke dalam insiden keamanan informasi adalah hal-hal sebagaimana berikut, namun tidak terbatas kepada: a. Kebocoran informasi yang sifatnya sensitif/rahasia/terbatas. Hal ini dapat terjadi jika informasi yang berada didalam perusahaan, tidak terklasifikasi dengan baik berdasarkan aspek kerahasiaannya, maka dapat berpotensi informasi rahasia dapat terbuka. b. Insiden terkait server (fisik server, ruang server, dll). Hal ini dapat terjadi karena sempurnanya pengontrolan terhadap ruang server secara berkala yang memungkinkan memicu gangguan terhadap server yang berdampak hilangnya data master atau data back-up perusahaan. c. Kerusakan atau kehilangan aset fisik bermuatan informasi (PC, Notebook, removable media, external harddisk, mobile devices) yang berpotensi menyebabkan hilangnya/tersebarnya informasi sensitif yang ada di dalamnya.. d. Insiden terkait serangan virus, malware, hacker, intruder, dan lain-lain, yang berpotensi menimbulkan gangguan terhadap availability maupun integrity informasi digital. 4. Jika terjadi insiden keamanan informasi, maka harus dipastikan hal-hal berikut dilakukan: a. Dilakukan analisis dampak yang disebabkan oleh insiden keamanan informasi tersebut, yang paling tidak mencakup jenis, valume serta kerugian baiaya yang disebabkan oleh insiden tersebut. b. Bukti-bukti pendukung terhadap insiden keamanan informasi harus didokumentasikan. 5. Setiap bulannya Ka. Unit IT Office dan IT Bisnis harus melakukan review (trend analysis) terhadap response time dan resolution time atas insiden yang terjadi dan melaporkan hasil analisanya ke Kadiv OTI serta melakukan improvement atas pelayanan yang diberikan. 6. Knowledge Database harus selalu dimutakhirkan (update) atas insiden sesuai dengan solusi yang diberikan untuk mempercepat proses penanganan insiden . 7. Proses eskalasi penanganan insiden harus dilakukan dengan cepat sesuai dengan Operation Level yang telah ditentukan. 8. Setiap insiden harus dicarikan temporary solution dalam Operation Level tertentu supaya operasional dapat segera dilanjutkan, sebelum dicarikan penyebab masalahnya dan fixed solution. 9. Pada saat melakukan penanganyan incident harus memperhatikan severity dari incident tersebut, jika sudah memasuki severity 1 maka harus langsung berkoordinasi dengan unit BCM mengenai kemungkinan aktifasi DRC. Paling lambat pada pukul 08:30 sudah harus diputuskan untuk aktivasi DRC karena untuk aktivasi DRC dan penyebaran informasi kepada Anggota Bursa dibutuhkan waktu sekitar 30 menit



139

10. Insiden/Problem yang membutuhkan penggantian/pengadaan nantinya akan dilanjutkan dengan pembuatan Service Request untuk persetujuan anggaran. 11. Insiden yang telah selesai dikerjakan akan diberikan notifikasi kepada user yang kemudian user berhak menentukan apakah insiden tersebut telah solve atau belum. 12. Insiden yang menurut user belum solve, insiden tersebut akan di re-open oleh service desk dan nantinya akan dilakukan perbaikan lagi oleh unit terkait. 13. Jika dalam 3 hari setelah notifikasi tidak terdapat tanggapan dari user, maka insiden tersebut dianggap telah solve. 14. Form Trouble ticket akan digunakan apabila sistem service desk tidak dapat digunakan. 15. Pemutakhiran data knowledge base dilakukan oleh ITO/ITB/NTS untuk insiden /problem yang sering terjadi dan bisa dilakukan problem solving oleh end user. 16. Preventif: Dilakukan analisa insiden report oleh service desk terkait laporan insiden berdasarkan WI Analisa Service desk. 17. Korektif: Membuka kembali insiden report yang perbaikannya belum sesuai tanpa menghilangkan activities log (WI Re-Open Insiden Report). Kemudian dilakukan analisa dan perbaikan ulang. 18. Non-conformities: Konfigurasi dikembalikan seperti keadaan semula. 19. Evaluasi: Dilakukan analisa dan evaluasi pencapaian SLA penanganan insiden setiap 6 bulan berdasar pada report aplikasi service desk. Hasil akhir evaluasi berupa laporan dan usulan perbaikan. 2. URAIAN PROSEDUR No Nama Pelaksana/Uraian

Dokumen

User 1.

Input request yang terjadi ke dalam sistem service desk (create

FORM-OTI-005-01

Ticket Number)

WI-OTI-005-01

Catatan :

FORM-OTI-005-01

Sebelum create request ke dalam sistem service desk user sebaiknya mencari solusi di Knowledge Database. 2.

Cari solusi dalam knowledge database : 

Knowledge DB

Jika tidak ada solusi maka lakukan eskalasi ke 1st level ITB / ITO



Jika ada solusi nya maka lakukan solusi untuk penanganan insiden.

3.

Jika solusi sudah dilakukan tapi insiden masih belum dapat

WI-OTI-005-01

solve, maka create request untuk eskalasi ke 1st level ITB/ITO 4.

Jika solusi sudah dilakukan dan insiden solve , maka update

WI-OTI-005-01

status Close Request. 5.

Create request dan update sistem service desk jika belum solve

Service desk 6.

Terima request dari User dan analisa request :

WI-OTI-001-01



140

No

Nama Pelaksana/Uraian 

Dokumen

Jika tidak masuk dalam scope OTI, maka reject dan berikan alasannya.



Jika masuk dalam scope OTI, maka eskalasi request menjadi insiden dan Monitoring status insiden. FORM-OTI-005-02

7.

Buat Laporan insiden

FORM-OTI-023-05 WI-OTI-005-02

8.

Update status insiden

WI-OTI-005-02

Unit IT Bisnis / IT Office 9.

Proses Disposisi insiden ke ITO/ITB

10.

Ka.Unit ITB / ITO, response / tanggapi laporan insiden dari

FORM-OTI-005-01

User dan assign PIC

WI-OTI-005-02

Staff ITB / ITO lakukan Investigasi dan Analisa atas insiden

FORM-OTI-005-01

yang terjadi.

WI-OTI-005-02

Laporkan ke ISEG apabila terindikasi adanya information

FORM-OTI-005-04

11. 12.

security incident. 13.

Cari temporary solusi untuk insiden yang terjadi

FORM-OTI-005-01

14.

Jika sampai pukul 08:30 belum ditemukan temporary solution

FORM-OTI-005-01

maka akan dilakukan aktivasi DRC. 15

Lakukan penanganan insiden dengan melaksanakan temporary

FORM-OTI-005-01

solusi tersebut. 16.

Cek apakah temporary solusi yang dilakukan sudah bisa

FORM-OTI-005-01

menyelesaikan insiden yang terjadi :

FORM-OTI-005-03



Jika belum dapat menyelesaikan insiden yang terjadi, maka lakukan eskalasi dan penanganan masalah sesuai dengan prosedur penanganan masalah.



Jika temporary solusi dapat menyelesaikan insiden yang terjadi, maka update status insiden dan knowledge database dalam sistem service desk



Mengisi form rekapitulasi incident untuk menentukan tipe incident

17.

Konfirmasi ke User bahwa insiden sudah resolve.

FORM-OTI-005-01



141

No


Dokumen

Service desk 18.

Konfirmasi ke User bahwa insiden sudah resolve.

FORM-OTI-005-01

User 19.

Terima konfirmasi insiden sudah resolve dan update status

Sistem Service desk

“close incident” dalam sistem service desk. Ka. Unit 20.

Lakukan review terhadap laporan insiden yang terjadi setiap

SOP-OTI-011

bulan (Monthly) dan laporkan hasil review tersebut ke Ka. Div.

FORM-OTI-005-02

OTI 21.

Selesai



142

12 Lampiran 5 Tingkat Saverity Incident Penyesuaian penanganan waktu incident yang disesuaikan dengan tingkat severity-nya. Detil dari prosedur yang telah disesuaikan adalah sebagai berikut:

Gambar 12.1 Tingkatan Saverity Incident

Dalam hal ini, jika terdapat gangguan terutama sistem perdagangan, jika belum diketemukan solusinya sampai pukul 08:30 maka harus dilakukan aktivasi DRC agar perdagangan tetap dapat dimulai tepat waktu pada pukul 09:10.



143

13 Lampiran 6 Penyesuaian SOP Backup Rutin Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan dan uraian prosedur (diberi warna abu-abu). Detil dari prosedur yang telah disesuaikan adalah sebagai berikut: 1. KEBIJAKAN 1.

Full backup sistem dilakukan setiap hari menggunakan fitur dari storage dari TCC ke DRC.

2.

Staf ITO memastikan hasil backup telah dilakukan dengan baik dan direview oleh Kepala Unit ITO

3.

Laporan hasil backup secara rutin dilaporkan kepada Kepala Divisi OTI setiap 1 bulan seklai dan selanjutnya disampaikan kepada user via email.

4.

Preventif: Memastikan persiapan backup telah dilakukan, hal ini dipastikan pada form backup rutin.

5.

Korektif: Melakukan perulangan proses backup dengan menggunakan form backup rutin.

6.

Non-conformities: Melakukan penghapusan file backup yang incomplete/corrupt.

7.

Evaluasi: Dilakukan analisa dan evaluasi hasil backup rutin dengan melakukan restore hasil backup dan untuk kemudian dilakukan pengujian aplikasi oleh user pada saat simulasi DRC. Hal ini dilampiri dengan ND hasil simulasi DRC. Evaluasi prosedur akan dilakukan setiap 6 bulan.

8.

Target keberhasilan proses backup dan restore disebutkan pada dokumen KPI Divisi.

2. URAIAN PROSEDUR : No


Dokumen

Kepala Unit IT Operasional 1.

Ka Unit ITO menugaskan staf ITO untuk melakukan Backup Rutin; Staf ITO

2.

Memastikan proses full backup melalui snapmirror dan

FORM-OTI-002-01



144

snapvault ke DRC untuk semua aplikasi dan JSXDATA2 serta JSXDATA3. 3.

Memastikan proses restore telah berhasil dilakukan dengan

FORM-OTI-002-01

baik; 4.

Jika

terjadi

kegagalan

dalam

proses

backup

maka

jalankan/eksekusi ulang script scheduler backup. Jika hal ini masih gagal, lakukan copy master data file (extension MDF) untuk database kemudian lakukan proses attach database dimaksud, atau copy manual directory tertentu ke lokasi backup; 5.

Jika masih terjadi kegagalan backup maka lakukan eskalasi

FORM-OTI-005-01

Penanganan Masalah 2nd Level TCC; 6.

Menyampaikan hasil Backup kepada Ka Unit ITO setiap hari;

7.

Jika terjadi kegagalan dalam proses restore

maka

jalankan/eksekusi ulang dengan lakukan copy master data file (extension MDF) untuk database kemudian lakukan proses attach database dimaksud, atau copy manual directory tertentu ke lokasi produksi; 8.

Jika masih terjadi kegagalan restore maka lakukan eskalasi

FORM-OTI-005-01

Penanganan Masalah 2nd Level TCC; 9.

Membuat laporan backup setiap 1 bulan, selanjutnya

FORM-OTI-002-01

disampaikan kepada Kepala unit ITO dan Kepala Divisi OTI KaUnit ITO 10.

Memeriksa hasil Backup – restore. Jika terjadi kejanggalan

FORM-OTI-002-01

operasi, langsung ditindaklanjuti dengan langkah solusi yang perlu dilakukan; 11.

Menyampaikan laporan backup setiap bulan ke Kadiv OTI.

FORM-OTI-002-01

Kadiv OTI 12.

Melakukan review hasil backup dan memberikan

FORM-OTI-002-01

persetujuan jika laporan backup telah sesuai. 13.

Menyampaikan laporan hasil backup kepada Kepala Divisi

FORM-OTI-002-01

dari pengguna sistem.



145

14 Lampiran 7 Penyesuaian Form Backup Rutin Terdapat perubahan form pelaporan backup dengan menghapus kolom persetujuan kepala Divisi Pengguna Sistem. Persetujuan cukup sampai Kepala Divisi OTI dan selanjutnya akan dikirimkan via email kepada Kepala Divisi User. 1. Form lama No 1.

Metode Backup

Nama Sistem / Proses

Source

Target

Hasil

Persiapan backup a. Koneksi TCC-DRC b. Space storage c. Proses hasil backup

2.

System A

Incremental Pukul: Full Backup Pukul

3.

System B


4.

Dst

Incremental Pukul: Full Backup Pukul Diusulkan Oleh,

(

Diperiksa Oleh,

)

(

)

Staf Operasional Perkantoran

Ka Unit Operasional Perkantoran

Diketahui Oleh,

Diketahui Oleh,

(

) Kepala Divisi OTI

(

)

Ka Unit /Staff Pengguna Sistem



146

2. Form baru No 1.

Metode Backup

Nama Sistem / Proses

Source

Target

Hasil

Persiapan backup a.

Koneksi TCCDRC

b.

Space storage

c. Proses hasil backup 2.

System A


3.

System B


4.

Dst

Incremental Pukul: Full Backup Pukul Diusulkan Oleh,

(

Diperiksa Oleh,

)

(

Staf Operasional Perkantoran

)

Ka Unit Operasional Perkantoran Diketahui Oleh,

(

) Kepala Divisi OTI



UNIVERSITAS INDONESIA EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS PT BURSA EFEK INDONESIA KARYA AKHIR

Recommend Documents