Evaluasi integrated toll collection system dengan

II TINJAUAN PUSTAKA
2.1 Sistem Informasi Manajemen
Perkembangan sistem informasi manajemen telah menyebabkan terjadinya
perubahan yang cukup signifikan dalam pola pengambilan keputusan yang
dilakukan oleh manajemen baik pada tingkat operasional (pelaksana teknis)
maupun pimpinan pada semua jenjang. Perkembangan ini juga telah
menyebabkan perubahan-perubahan peran dari para manajer dalam pengambilan
keputusan, mereka dituntut untuk selalu dapat memperoleh informasi yang paling
akurat dan terkini yang dapat digunakannya dalam proses pengambilan keputusan.
Meningkatnya penggunaan teknologi informasi, khususnya internet, telah
membawa setiap orang dapat melaksanakan berbagai aktivitas dengan lebih akurat,
berkualitas, dan tepat waktu.
Informasi harus dikelola dengan baik dan memadai agar memberikan
manfaat yang maksimal. Penerapan sistem informasi di dalam suatu organisasi
dimaksudkan untuk memberikan dukungan informasi yang dibutuhkan, khususnya
oleh para pengguna informasi dari berbagai tingkatan manajemen. Sistem
informasi yang digunakan oleh para pengguna dari berbagai tingkatan manajemen
ini biasa disebut sebagai: Sistem Informasi Manajemen (Sutono 2007).
Kristanto (2003) menjelaskan bahwa sistem informasi manajemen
merupakan suatu sistem yang biasanya diterapkan dalam suatu organisasi untuk
mendukung pengambilan keputusan dan informasi yang dihasilkan dibutuhkan
oleh semua tingkatan manajemen atau dengan kata lain teknik pengelolan
informasi dalam suatu organisasi.
Silver
et
al.
(1995)
menyatakan
bahwa
Sistem
informasi
diimplementasikan dalam sebuah organisasi untuk tujuan meningkatkan
efektivitas dan efisiensi dari organisasi tersebut. Kemampuan sistem informasi
dan karakteristik organisasi, sistem yang bekerja, orang-orangnya, dan
pengembangan serta pelaksanaan metodologi bersama-sama menentukan sejauh
mana tujuan itu tercapai.
8
2.2 Audit Tools
Di dalam dunia IT terdapat berbagai
audit tools yang sudah siap
digunakan saat ini. Berikut ini adalah sebagian dari standard tools/framework
yang banyak digunakan di dunia:
1. COBIT® (Control Objectives for Information and related Technology)
2. COSO (Committee of Sponsoring Organisations of the Treadway
Commission) Internal Control—Integrated Framework
3. ISO/IEC 17799:2005 Code of Practice for Information Security
Management
4. ITIL (Information Technology Infrastructure Library)
Pada tahun 1998 ITGI (IT Governance Institute) didirikan dengan tujuan
untuk
untuk
memajukan
pemikiran
dan
standar
internasional
dalam
memimpin dan mengendalikan teknologi informasi dalam sebuah perusahaan. IT
yang efektif dapat membantu memastikan bahwa TI mendukung tujuan bisnis,
mengoptimalkan bisnis melalui investasi di IT, dan mengelola resiko dan peluang
yang berkaitan dengan IT. ITGI menawarkan penelitian, sumber daya elektronik
dan studi kasus untuk membantu para pemimpin perusahaan dan dewan direksi di
dalam tata kelola IT mereka. ITGI telah merancang dan menciptakan sebuah
publikasi berjudul COBIT (Control Objectives for Information and related
Technology) sebagai sarana dan sumber daya edukasi untuk Chief Information
Officer (CIO), manajemen senior, manajemen TI dan para profesional yang
bertugas melakukan kendali (ITGI, 2007). COBIT dikembangkan oleh IT
Governance Institute, yang merupakan bagian dari Information Systems Audit and
Control Association (ISACA).
Tema utama dari COBIT adalah orientasi bisnis. COBIT dirancang untuk
digunakan tidak hanya oleh pengguna dan auditor, tetapi juga, dan yang lebih
penting, sebagai pedoman yang komprehensif bagi manajemen dan pemilik
business process. Semakin praktik bisnis melibatkan pemberdayaan yang penuh
dari pemilik business process, mereka memiliki tanggung jawab penuh untuk
semua aspek dari business process, khususnya termasuk melakukan pengawasan
yang memadai (ITGI and OGC 2005). Framework
ini dimulai dari premis
sederhana dan pragmatis: untuk memberikan informasi yang diperlukan organisasi
9
untuk mencapai tujuannya, sumber daya TI harus dikelola oleh serangkaian proses
alami yang telah dikelompokkan (ITGI and OGC 2005). Pedoman tata kelola IT
juga disediakan di dalam framework Cobit. Tata kelola IT menyediakan struktur
yang menghubungkan proses TI, sumber daya TI dan informasi untuk strategi dan
tujuan perusahaan. Tata kelola TI mengintegrasikan cara yang optimal dari :
planning and organizing, acquiring and implementing, delivering and supporting¸
serta monitoring and evaluating dari kinerja TI. Tata kelola TI memungkinkan
perusahaan untuk mengambil keuntungan penuh dari informasi yang dimilikinya,
sehingga memaksimalkan keuntungan, memanfaatkan peluang dan mendapatkan
keuntungan kompetitif (ITGI and OGC 2005).
Sementara itu, menurut Gondodiyoto (2007), Control Objectives for
Information and related Technology (COBIT) adalah sekumpulan dokumentasi
best practices untuk IT governance yang dapat membantu auditor, manajemen
dan pengguna (user) untuk menjembatani kesenjangan antara risiko bisnis,
kebutuhan kontrol dan permasalahan-permasalahan teknis (Gambar 1)
Gambar 1 COBIT Framework.
ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan
framework/best practice bagi IT service management untuk menciptakan layanan
teknologi informasi yang bermutu tinggi. ITIL terdiri atas delapan buku berseri
yang disusun dan diterbitkan oleh Central Computer and Telecommunications
Agency (CCTA) yang sekarang dikenal sebagai the British Office of Government
Commerce (OGC). Delapan serial buku ITIL tersebut terdiri atas:
10
o
Software Asset Management
o
Service Support
o
Service Delivery
o
Planning to Implement Service Management
o
ICT Infrastructure Management
o
Application Management
o
Security Management
o
Business Perspective
ISO/IEC 17799:2005 Code of Practice for Information Security
Management adalah standar internasional. Tujuan utama dari penyusunan standar
ini adalah penerapan keamanan informasi dalam organisasi. Framework ini
diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek
manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi
keamanan informasi dalam hubungan antar organisasi. Dalam framework ini
didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus tigapuluh
dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya
manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat
memilih pada bagian-bagian yang terkait saja ((ITGI, 2006).
Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information
Security Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada
tahun 2005. Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for
Information Security Management menjadi standar resmi ISO yang berdampak
pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.
Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x
series, Information Security Management System sebagai ISO 27002. Standar
tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem
manajemen keamanan informasi ((ITGI, 2006).
COSO adalah organisasi swasta yang menyusun Internal Control –
Integrated Network bagi peningkatan kualitas penyampaian laporan keuangan dan
pengawasan internal untuknya yang lebih efektif. Tujuan dari penyusunan
framework ini adalah peningkatan sistem pengawasan terpadu untuk pengendalian
11
perusahaan/organisasi dalam beberapan langkah. Hal ini diarahkan untuk
memberikan para pemegang kebijakan di organisasi dapat melakukan pengawasan
internal dalam pelaksanaan tugas kepada para eksekutif, mencapai laba yang
menguntungkan
serta
mengelola
resiko-resiko
yang
timbul.
Internal Control – Integrated Framework yang disusun oleh COSO diterbitkan
pertama kali pada tahun 1992 dan masih diperbarui hingga saat ini. Hingga saat
ini COSO maupun organisasi lainnya tidak melakukan/menerbitkan sertifikasi
keahlian/profesional bagi framework ini (ITGI, 2006).
Lingkup kriteria informasi yang sering menjadi perhatian dalam Internal
Control – Integrated Framework COSO adalah:
o
Effectiveness
o
Efficiency
o
Confidentiality
o
Integrity
o
Availability
o
Compliance
o
Reliability
Jika dilihat dari lingkup kriteria informasi di atas maka dapat dilihat
bahwa komponen-komponen yang menjadi perhatian dalam Internal Control –
Integrated Framework COSO identik dengan COBIT. Sedangkan fokus terhadap
pengelolaan sumber daya teknologi informasi pun dalam Internal Control –
Integrated Framework COSO identik dengan COBIT.
Tabel 1 menunjukkan bahwa ITIL sangat fokus kepada proses desain dan
implementasi TI, serta pelayanan pelanggan (customer service), hal ini
diperlihatkan bahwa hampir seluruh proses pada domain AI dan DS COBIT
dilakukan.
Tabel 1 Matriks Proses COBIT vs Standar ITIL
Proses dan Domain COBIT
1
2
3
4
5
6
7
8
9
+
+
+
PO
+
+
+
+
+
+
AI
+
+
+
+
+
+
+
+
DS
M
+ Addressed
Not or rarely addressed
10
+
11
-
12
13
+
+
+
+
(COBIT Mapping, Overview of International IT Guidance 2nd, 2006)
12
Sebagian proses PO dilakukan, ini menunjukkan bahwa ITIL tidak terlalu
fokus pada proses penyelarasan strategi perusahaan dengan pengelolaan TI.
Proses pada domain M sama sekali tidak dilakukan oleh ITIL, hal ini
menunjukkan ITIL tidak melakukan pengawasan yang akan memastikan
kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.
Tabel 2 menunjukkan bahwa ISO/IEC 17799 melakukan sebagian prosesproses pada seluruh domain COBIT.
Tabel 2 Matriks Proses COBIT vs Standar ISO/IEC 17799
Proses dan Domain COBIT
1
2
3
4
5
6
7
8
9
+
+
+
+
+
+
+
PO
+
+
+
+
+
+
AI
+
+
+
+
+
+
+
DS
+
+
M
+ Addressed
Not or rarely addressed
10
-
11
12
13
+
+
+
+
(COBIT Mapping, Overview of International IT Guidance 2nd, 2006)
Hal ini menunjukkan ISO/IEC 17799 mempunyai spektrum yang luas
dalam hal pengelolaan TI sebagaimana halnya COBIT, namun ISO/IEC 17799
tidak sedalam COBIT dalam hal detail proses-proses yang dilakukan dalam
domain-domain tersebut.
Tabel 3 menunjukkan bahwa COSO melakukan sebagian proses di domain
PO, AI, dan DS, namun tidak satupun proses pada domain M dilakukan. Hal ini
menunjukkan bahwa COSO fokus kepada proses penyelarasan TI dengan strategi
perusahaan, dan sangat fokus dalam hal desain dan implementasi TI.
Tabel 3 Matriks Proses COBIT vs Standar COSO
1
2
3
4
+
+
+
+
PO
+
+
+
+
AI
+
+
+
DS
M
+ Addressed
Not or rarely addressed
Proses dan Domain COBIT
5
6
7
8
9
+
+
+
+
+
+
+
+
+
+
10
-
11
12
13
-
+
+
-
(COBIT Mapping, Overview of International IT Guidance 2nd, 2006)
13
Tabel 4 memperlihatkan bahwa model-model standar selain COBIT tidak
mempunyai range spektrum yang seluas COBIT. Model-model tersebut hanya
melakukan sebagian dari proses-proses pengelolaan yang ada di dalam COBIT
Tabel 4 Matriks Domain COBIT vs ITIL, ISO/IEC 17799, dan COSO
Standar
Domain COBIT
PO AI DS M
○
+
+
○
+
+
○
+
+
○
-
ITIL
ISO/IEC 17799
COSO
+ Frequently addressed
○ Moderately addressed
- Not or rarely addressed
(COBIT Mapping, Overview of International IT Guidance 2nd, 2006)
2.3 IT Governance
Bagi banyak perusahaan, teknologi informasi adalah pendukung utama
yang paling berharga mereka, namun sangat sedikit yang menyadari dan
memahami hal ini. Perusahaan yang sukses menyadari manfaat dari teknologi
informasi dan akan menggunakannya agar mereka mendapatkan nilai. Kebutuhan
kepastian tentang nilai TI, manajemen risiko terkait TI dan persyaratan
peningkatan kontrol atas informasi sekarang dipahami sebagai elemen kunci dari
tata kelola perusahaan. Nilai, resiko dan kontrol merupakan inti dari tata kelola IT
(IT Governance).
Untuk mencapai keberhasilan, manajemen harus mendefinisikan sebuah
strategi dan menyediakan tata kelola perusahaan yang efektif. Strategi
didefinisikan sebagai “sebuah penyesuaian perilaku atau struktur dengan rencana
kerja yang rumit dan sistematis”. Tata kelola perusahaan dapat diartikan sebagai
“perilaku etis para eksekutif perusahaan terhadap pemegang saham dan para
pemangku kepentingan untuk memaksimalkan pengembalian investasi keuangan”.
(Cannon et al. 2006)
Untuk menjamin bahwa sistem informasi telah berjalan, diperlukan suatu
pengukuran yang efektif dan efisien terhadap peningkatan bisnis perusahaan
melalui struktur yang mengkolaborasikan proses-proses IT, sumberdaya IT dan
informasi ke arah dan tujuan perusahaan, yaitu yang dikenal dengan IT
14
governance. IT Governance memadukan best practices dari proses perencanaan,
pengelolaan, penerapan, pelaksanaan, dan pendukung serta pengawasan kinerja
TI, untuk memastikan informasi dan teknologi yang terkait lainnya benar-benar
menjadi pendukung bagi pencapaian sasaran perusahaan (Gondodiyoto 2007).
Tata kelola TI adalah tanggung jawab dari eksekutif dan Board of Director,
yang terdiri dari kepemimpinan, struktur organisasi dan proses – proses yang
memastikan bahwa IT di sebuah perusahaan menopang dan memperluas strategi
dan tujuan organisasi.Tata kelola IT mengintegrasikan best practices untuk
memastikan bahwa IT sebuah perusahaan mendukung kepada tujuan bisnis. Tata
kelola TI memungkinkan perusahaan untuk mengambil keuntungan penuh dari
informasi yang dimilikinya, sehingga memaksimalkan keuntungan, memanfaatkan
peluang dan mendapatkan keuntungan kompetitif. (ITGI 2007)
Lemahnya sistem informasi (SI) tidak memungkinkan terjadinya deteksi
dini (warning sign) atas kecurangan kecil yang mulanya dilakukan secara cobacoba. Kecurangan kecil meningkat menjadi kecurangan besar karena pelaku
mempunyai kesempatan dan mengetahui kelemahan sistem pengendalian intern
yang ada dalam organisasi,disamping faktor keserakahan.
Menurut Fox dan Zonneveld (2003), membangun kontrol internal yang
kuat dalam TI dapat membantu organisasi untuk meningkatkan pemahaman
tentang TI di kalangan eksekutif, membuat keputusan bisnis yang lebih baik
dalam kualitas yang lebih tinggi dan informasi lebih tepat waktu, menyelaraskan
berbagai inisiatif proyek dengan kebutuhan bisnis, mencegah hilangnya sumber
daya dan kemungkinan pelanggaran sistem. Kontrol internal dalam IT juga dapat
membantu organisasi untuk meningkatkan pemahaman tentang TI mengenai
berkontribusi pada kepatuhan persyaratan peraturan lainnya, seperti untuk privasi,
mendapatkan keuntungan kompetitif melalui operasi yang lebih efisien dan efektif,
mengoptimalkan operasi dengan pendekatan terpadu untuk integritas keamanan,
ketersediaan, dan pengolahan, meningkatkan kompetensi manajemen risiko dan
prioritas inisiatif.
Dengan adanya IT governance proses bisnis perusahaan akan menjadi
transparan, dapat dipertanggungjawabkan, dan akuntabilitas setiap fungsi atau
individu menjadi semakin jelas. IT governance bukan hanya penting bagi personil
15
IT saja, namun juga terutama untuk mereka pengambil keputusan yang
bertanggung jawab dalam penentuan investasi dan pengelolaan resiko perusahaan
(Gondodiyoto 2007).
Weill dan Ross (2004) mendefinisikan IT governance sebagai aktifitas
menetapkan hak pengambilan keputusan dan kerangka kerja yang dapat
dipertanggungjawabkan (accountability framework) untuk mendorong perilaku
pengunaan TI yang diharapkan.
Dalam hal ini dapat disimpulkan dalam tatakelola yang baik, peranan IT
Governance (tatakelola TI) merupakan hal yang sangat penting, dalam konteks
organisasi bisnis yang berkembang kebutuhan akan TI bukan merupakan barang
yang langka.
2.4 COBIT Framework
COBIT (Control Objectives for Information and Related Technology)
merupakan sebuah model framework tata kelola yang representatif dan
menyeluruh yang merupakan salah satu standar dunia dalam pengelolaan IT.
COBIT mencakup kepada masalah perencanaan, implementasi, operasional dan
pengawasan terhadap seluruh proses TI yang dikembangkan oleh IT Governance
Institute (ITGI) yang berbasis di Amerika Serikat. .
COBIT
dapat
digunakan
sebagai
tools
yang
digunakan
untuk
mengefektifkan implementasi IT Governance, yakni sebagai management
guideline dengan menerapkan seluruh domain yang terdapat dalam COBIT.
Gambar 2 The COBIT Cube (ITGI 2007).
16
Prinsip dasar framework secara ringkas adalah: IT resources dikelola oleh
IT processes untuk mencapai IT goals yang menjawab persyaratan bisnis. Di
dalam kerangka kerja COBIT terdapat tujuh persyaratan atau kriteria informasi
bisnis, yaitu: effectiveness, efficiency, confidentiality, integrity, availability,
compliance, dan reliability. COBIT kemudian menjelaskan bahwa sumber daya
IT yang harus disediakan untuk memberikan kebutuhan bisnis oleh proses bisnis,
yaitu: applications, information, infrastructure dan people seperti tampak dalam
Gambar 2.
COBIT mendefinisikan aktivitas individual di dalam lingkungan IT ke
dalam 34 proses dan kemudian mengelompokkan proses tersebut menjadi empat
domain seperti tampak dalam Gambar 3. Keempat domain tersebut adalah:
Planning and Organization (10 proses), Acquisition and Implementation (7
proses), Delivery and Support (13 proses), dan Monitoring and Evaluation (4
proses).
Framework COBIT disusun dengan karakteristik berfokus pada bisnis
(business-focused), berorientasi pada proses (process-oriented), berbasis pada
pengendalian (controls-based) dan terarah kepada pengukuran (measurementdriven). Model Kematangan (Maturity Models) adalah alat bantu yang dapat
digunakan untuk melakukan benchmarking dan self-assessment oleh manajemen
TI untuk menilai kematangan proses TI.
Dengan Model Kematangan, manajemen bisa mengidentifikasi:
1. Kinerja aktual dari perusahaan – di mana posisi perusahaan saat ini.
2. Status industri saat ini – perbandingan.
3. Target perbaikan bagi perusahaan – ke mana perusahaan ingin dibawa.
4. Jalur pertumbuhan yang diperlukan antara “as-is” dan “to-be”.
Secara umum, tingkat kematangan proses TI dibagi menjadi enam tingkat, mulai
dari tingkat kematangan 0 sampai dengan tingkat kematangan 5 (Tabel 5).
Selain keenam tingkat tersebut, Tingkat Kedewasaan disusun oleh atributatribut sebagai berikut:
1. Awareness and Communication (AC)
2. Policies, Standards and Procedures (PSP)
3. Tools and Automation (TA)
17
4. Skills and Expertise (SE)
5. Responsibility and Accountability (RA)
6. Goal Setting and Measurement (GSM)
Gambar 3 Domain dalam COBIT (ITGI 2007)
Tabel 5 Tingkat Kedewasaan Umum dalam COBIT
Level
0 Non Existent
Kriteria Kedewasaan
Perusahaan bahkan tidak mengetahui bahwa terdapat
permasalahan yang harus diatasi.
Tidak terdapat proses standar, namun menggunakan
1 Initial /
pendekatan ad hoc yang cenderung diperlakukan secara
Ad Hoc
individu atau per kasus.
2 Repeatable but Proses dikembangkan ke dalam tahapan dimana prosedur
yang serupa diikuti oleh pihak-pihak yang berbeda untuk
Intituitive
pekerjaan yang sama.
Prosedur distandarisasi dan didokumentasikan kemudian
3 Defined
dikomunikasikan melalui pelatihan.
4 Managed and Manajemen mengawasi dan mengukur kepatutan terhadap
prosedur dan mengambil tindakan jika proses tidak dapat
Measurable
dikerjakan secara efektif.
Proses telah dipilih ke dalam tingkat praktek yang baik,
5 Optimised
berdasarkan hasil dari perbaikan berkelanjutan dan
permodelan kedewasaan dengan perusahaan lain.
Sumber: ITGI (2007)
2.4.1. Plan and Organize
Domain ini melingkupi area strategi, taktik dan memberikan perhatian
dalam mengidentifikasi bagaiamana IT dapat memberikan kontribusi
terbaik kepada tujuan bisnis. Realisasi dari strategi harus direncanakan,
dikomunikasikan dan di atur dalam perspektif yang berbeda. Domain ini
memiliki pertanyaan dalam perspektif manajemen yaitu :
a. Apakah IT dan strategi bisnis sudah selaras ?
18
b. Apakah pencapaian perusahaan sudah optimal dengan menggunakan
sumberdaya yang ada ?
c. Apakah semua karyawan di dalam perusahaan sudah memahami tujuan
dari IT ?
d. Apakah resiko IT sudah dipahami dan dikelola ?
e. Apakah kualitas dari sistem IT sesuai dengan kebutuhan bisnis ?
2.4.2. Acquire and Implement
Untuk mewujudkan strategi IT, solusi IT harus diidentifikasi, dibangun
atau dimiliki sebaik mungkin, untuk diimplementasikan dan diintegrasikan
dalam proses bisnis. Selain itu, perubahan dan pemeliharaan sistem yang
telah ada dan digunakan, merupakan hal yang diperhatikan di dalam
domain ini. Domain ini memiliki pertanyaan dalam perspektif manajemen
yaitu :
a. Apakah proyek memberikan solusi yang memenuhi kebutuhan bisnis?
b. Apakah proyek baru dapat diselesaikan tepat waktu sesuai budget ?
c. Apakah
sistem
baru
dapat
bekerja
sempurna
setelah
diimplementasikan ?
d. Apakah perubahan dapat dilakukan tanpa mengganggu operasional
bisnis yang sudah berjalan ?
2.4.3. Deliver and Support
Domain
ini
memiliki
topik
mengenai
layanan
yang
diberikan
dibandingkan merujuk kepada layanan yang diminta, termasuk pengaturan
security, layanan support untuk pengguna, pemantauan internal control,
dan pengelolaan data termasuk fasilitas operasional. Biasanya domain ini
membahas mengenai pertanyaan manajemen :
a. Apakah layanan IT yang diberikan selaras dengan prioritas bisnis ?
b. Apakah biaya IT sudah optimal ?
c. Apakah para pekerja mampu untuk menggunakan sistem IT secara
produktif dan aman ?
d. Apakah keamanan, integritas dan ketersediaan sudah pada tempatnya ?
19
2.4.4. Monitor and Evaluate
Domain ini memiliki topik mengenai perlunya proses IT untuk dinilai
kualitasnya dan sesuai dengan persyaratan yang dikontrol secara berkala dari
waktu ke waktu. Selain itu dinilai pula kualitas kinerja manajemen,
pemantauan dari internal control serta kepatuhan terhadap peraturan dan tata
kelola. Biasanya domain ini membahas mengenai pertanyaan manajemen :
a. Apakah kinerja IT dapat diukur untuk mendeteksi masalah sebelum
terlambat ?
b. Apakah manajemen telah memastikan bahwa pengawasan internal efektif
dan efisien
c. Dapatkah kinerja IT dihubungkan dengan dengan tujuan bisnis ?
d. Apakah keamanan, integritas dan ketersediaan sudah pada tempatnya ?
2.5 Domain dari Delivery and Support
2.5.1. DS1 – Define and Manage Service Levels
Komunikasi yang efektif antara manajemen TI dan bisnis pelanggan
mengenai layanan yang diminta diaktifkan oleh agreement IT
mengenai layanan IT dan service level yang telah didokumentasikan.
Proses ini juga termasuk pemonitoran dan laporan secara berkala
kepada pemegang saham untuk pencapaian service level Proses ini
memungkinkan keselarasan antara layanan TI dan persyaratan bisnis
yang terkait.
2.5.2. DS2 – Manage Third-Party Services
Memastikan bahwa layanan yang diberikan oleh pihak ketiga
(pemasok,
vendor
dan
mitra)
memenuhi
persyaratan
bisnis
membutuhkan manajemen proses efektif dari pihak ketiga. Proses ini
dicapai dengan mendefinisikan secara jelas peran, tanggung jawab dan
harapan dalam perjanjian pihak ketiga serta melakukan review dan
pemantauan perjanjian tersebut untuk efektivitas dan kepatuhannya.
Manajemen layanan yang efektif dari pihak ketiga meminimalkan
risiko usaha yang terkait dengan pemasuk, vendor, mitra yang tidak
berhasil memberikan layanan yang baik.
20
2.5.3. DS3 – Manage Performance and Capacity
Kebutuhan untuk mengelola kinerja dan kapasitas dari sumberdaya IT
membutuhkan sebuah proses yang secara berkala meninjau kinerja
dan kapasitas dari sumberdaya IT. Proses ini termasuk peramalan akan
kebutuhan beban kerja, penyimpanan dan persyaratan kondisi
kontingensi. Proses ini menyediakan kepastian bahwa sumberdaya
informasi yang mendukung permintaan bisnis tersedia secara terus
menerus.
2.5.4. DS4 – Ensure Continuous Services
Menyediakan layanan IT yang berkesinambungan membutuhkan
pengembangan, pemeliharaan, dan pengujian rencana kontinuitas IT,
pemanfaatan cadangan penyimpanan offsite, dan menyediakan
pelatihan rencana berkesinambungan secara berkala. Layanan yang
berkelanjutan yang efektif meminimalkan kemungkinan dan efek
samping dari gangguan layanan IT berskala besar dalam fungsi dan
proses yang utama dari bisnis.
2.5.5. DS5 – Ensure Systems Security
Kebutuhan untuk memelihara integritas dari informasi dan melindungi
asset IT membutuhkan sebuah proses pengelolaan security. Proses ini
termasuk di dalamnya membuat dan memelihara peraturan mengenai
IT security, tanggungjawab, kebijakan, standarisasi dan prosedur.
Manajemen security juga termasuk di dalamnya pemantauan security
dan uji security secara berkala dan melakukan perbaikan atas
kelemahan
security.
Manajemen
security
yang
efektif
akan
melindungi semua asset IT dan meminimalkan dampak kepada bisnis
karena disebabkan kerentanan dan insiden yang terjadi.
2.5.6. DS7 – Educate and Train Users
Edukasi yang efektif untuk semua pengguna layanan IT termasuk di
dalamnya adalah IT, membutuhkan identifikasi kebutuhan training
21
untuk setiap kelompok pengguna layanan IT. Selain untuk
mengidentifikasi kebutuhan, didalam proses ini juga termasuk
mendefinisikan dan mengeksekusi strategi training yang efektif dan
dapat diukur hasilnya. Sebuah program training yang efektif akan
meningkatkan penggunaan teknologi yang efektif dengan mengurangi
kesalahan penggunaan oleh pengguna layanan IT, meningkatkan
produktifitas dan kepatuhan terhadap key control seperti langkahlangkah keamanan dalam penggunaan layanan IT.
2.5.7. DS8 – Manage Service Desk and Incidents
Respon yang tepat waktu dan efektif terhadap pertanyaan dan masalah
yang dihadapi oleh pengguna layanan IT memerlukan sebuah service
desk dan manajemen insiden yang di desain dan dilaksanakan dengan
baik. Termasuk di dalamnya pengaturan fungsi service desk seperti
pendaftaran komplain, eskalasi, analisa kecenderungan dan akar
permasalahan dan pemecahannya. Bisnis diuntungkan juga dengan
peningkatan produktivitas melalui respon yang cepat terhadap
permasalahan di pengguna layanan IT.
2.5.8. DS10 – Manage Problems
Pengelolaan problem yang efektif membutuhkan identifikasi dan
klasifikasi dari permasalahannya, analisa penyebab dan penyelesaian
dari masalah. Pengelolaan masalah juga termasuk formulasi dan
rekomendasi untuk pernyempurnaan, pemeliharaan dari pencatatan
masalah, dan review status tindakan perbaikan. Proses pengelolaan
permasalahan yang efektif akan memaksimalkan ketersediaan sistem,
penyempurnaan service level, penghematan biaya dan peningkatan
kenyamanan dan kepuasan pengguna layanan IT.
2.5.9. DS11 – Manage Data
Pengelolaan data yang efektif membutuhkan pengidentifikasian data
yang dibutuhkan. Proses pengelolaan data juga termasuk pembuatan
22
prosedur yang efektif untuk mengelola media library, backup dan
pemulihan/pengembalian data serta penghancuran media yang tepat.
Manajemen data yang efektif membantu untuk menjamin kualitas,
ketepatan waktu dan ketersediaan data bisnis.
2.5.10. DS12 – Manage the Physical Environment
Perlindungan terhadap peralatan komputer dan personel memerlukan
fasilitas fisik yang didesain dan dikelola dengan baik. Proses dari
pengelolaan fisik lingkungan termasuk mendefinisikan persyaratan
fisik site, memilih fasilitas yang sesuai dan mendisain proses yang
efektif untuk pemantauan faktor lingkungan dan pengelolaan akses
fisik. Pengelolaan yang efektif dari fisik lingkungan akan mengurangi
gangguan terhadap bisnis dari kerusakan komputer maupun personel.
2.5.11. DS13 – Manage Operations
Pemrosesan data yang lengkap dan akurat memerlukan prosedur
pengelolaan pemrosesan data yang efektif dan pemeliharaan perangkat
keras yang teratur. Proses ini termasuk di dalamnya pendefinisian
kebijakan dan prosedur pengoperasian untuk pengelolaan pemrosesan
yang sudah dijadwalkan yang efektif, perlindungan output yang
sensitif,
pemantauan
kinerja
infrastruktur
dan
memastikan
pemeliharaan perangkat keras secara preventif. Pengelolaan operasi
yang efektif membantu pemeliharaan integritas data dan mengurangi
keterlambatan bisnis dan biaya operasional IT.
2.6 Control Objective dari Domain Delivery and Support
2.6.1. DS1 – Define and Manage Service Levels
2.6.1.1. DS1.1 - Service Level Management Framework (Kerangka
Service level Management)
Merupakan sebuah kerangka kerja yang memberikan proses
formal dari sebuah manajeman layanan (service level
management) antara pelanggan dengan provider layanan.
Kerangka
kerja
tersebut
harus
mengatur
secara
23
berkesinambungan serta sejajar antara kepentingan bisnis
dengan prioritas, serta memfasilitasi pemahaman umum
(common understanding) antara pelanggan dengan provider.
Kerangka kerja ini juga harus mencakup proses pembuatan
keperluan layanan (service requirement), definisi servis,
Service Level Agreement (SLA),
Operational Level
Agreement (OLA) dan sumber pendanaan. Perangkatperangkat tersebut harus tersusun rapi dalam sebuah katalog
pelayanan.
Kerangka kerja harus menjelaskan mengenai
struktur organisasi dalam service level management beserta
peranannya masing-masing, tujuan dan tanggung jawab, baik
internal maupun eksternal antara pelanggan dengan provider.
2.6.1.2. DS1.2 – Definition of Services
Definisi dasar dari servis IT dalam karakteristik servis dan
keperluan bisnis. Hal tersebut harus dipastikan terorganisir
dan tersimpan secara sentral lewat implementasi katalog
servis dengan pendekatan portofolio.
2.6.1.3. DS1.3 – Service Level Agreement
Service Level Agreement untuk semua pelayanan IT,
ditetapkan dan disepakati berdasarkan kebutuhan pelanggan
dan kemampuan IT. Hal ini harus meliputi komitmen
pelanggan; kebutuhan pendukung layanan; ukuran kualitatif
dan kuantitatif untuk mengukur service signed off on oleh
para stakeholder; pendanaan dan aturan komersial, jika dapat
diterapkan; serta peranan dan tanggungjawab, termasuk
oversight
dari
SLA.
Item-item
lain
yang
harus
dipertimbangkan meliputi availabilitas, reliabilitas (masuk
akal), performa, kapasitas, kekuatan pendukung, perencanaan
yang kontinu, keamanan dan kendala permintaan ( demand
constraints).
24
2.6.1.4. DS1.4 – Operating Level Agreements
Menentukan Operating Level Agreements yang menjelaskan
bagaimana servis yang secara teknis akan mendukung SLA
secara optimal. OLA harus merinci proses teknis secara
bermakna pada provider, dan dapat mendukung beberapa
SLA
2.6.1.5. Monitoring and Reporting of Service Level Agreements
Secara kontinu mengawasi kriteria tertentu dari performa
service level (service level performa). Pelaporan hasil harus
dilakukan dalam format yang dapat dimengerti oleh
stakeholder. Statistik pemonitoran harus dianalisa dan
ditindaklanjuti segera untuk mengidentifikasi tren positif dan
negatif,
baik
dalam
servis
individu
maupun
secara
keseluruhan.
2.6.1.6. Review of Service Level Agreements and Contracts
Secara teratur mengulas SLA dan underpinning contracts
(UC)
dengan
provider
internal
dan
external
untuk
memastikan keefektifan serta selalu diperbarui sesuai
kebutuhan.
2.6.2. DS2 – Manage Third Party Services
2.6.2.1. DS2.1 – Identification of All Supplier Relationship
a. Mengidentifikasi
mengkategorikan
semua
layanan
supplier
mereka
menurut
jenis
dan
supplier,
signifkansi dan kritis.
b. Menjaga dokumentasi formal dari hubungan teknis dan
organisasi yang meliputi peranan serta tanggungjawab,
tujuan, pemberian layanan yang diharapkan (expected
deliverables), dan credentials of representatives dari
supplier- supplier tersebut.
25
2.6.2.2. DS2.2 – Supplier Relationship Management
Memformalkan proses manajemen hubungan supplier untuk
tiap-tiap supplier. Pemilik hubungan harus mewakili isu
mengenai pelanggan dan supplier, dan memastikan bahwa
kualitas hubungan tersebut berdasarkan pada kepercayaan
dan transparansi (misalnya melalui SLA).
2.6.2.3. DS2.3 – Supplier Risk Management
Mengidentifikasi dan mengurangi resiko yang berkaitan
dengan kemampuan supplier untuk menjalankan servis
efektif dengan cara yang aman dan efisien secara terus
menerus. Memastikan bahwa kontrak-kontrak yang ada
sesuai dengan standar bisnis universal, ditinjau dari hukum
dan peraturan yang berlaku
Manajemen resiko juga harus mempertimbangkan lebih
lanjut mengenai. Non-disclosure agreements (NDAs), surat
wasiat (escrow contracts), kelangsungan supplier di masa
depan, kesesuaian dengan kebutuhan keamanan, supplier
alternatif, sanksi dan penghargaan.
2.6.2.4. DS2.4 – Supplier Performance Monitoring
Membangun sebuah proses untuk mengawasi pemberian
pelayanan untuk memastikan bahwa supplier memperoleh
kebutuhan bisnis serta selalu mematuhi kesepakatan kontrak
dan SLA, dan bahwa performa supplier kompetitif dengan
supplier lain serta kondisi pasar.
2.6.3. DS3 – Manage Performance and Capacity
2.6.3.1. DS3.1 – Performance and Capacity Planning
Menyusun perencanaan proses untuk mengulas performa dan
kapasitas dari sumber IT untk memastikan bahwa kapasitas
biaya dapat diterima dan performa mampu memproses beban
26
kerja yang sudah disepakati dan ditentukan oleh SLA.
Perencanaan kapasitas dan performa harus meliputi teknik
model yang tepat untuk menghasilkan bentuk performa saat
ini dan di masa datang, kapasitas dan throughput dari
sumber-sumber IT.
2.6.3.2. DS3.2 – Current Performance and Capacity
Menilai performa dan kapasitas yang sedang berjalan dari
sumber IT untuk menentukan apakah kapasitas dan performa
yang ada sudah layak dan sesuai dengan tingkat pelayanan
yang disepakati.
2.6.3.3. DS3.3 – Future Performance and Capacity
Memperkirakan performa dan kapasitas dari sumber IT
dengan interval yang teratur untuk meminimalisir resiko
gangguan layanan akibat kapasitas yang tidak memadai atau
penurunan
performa,
dan
mengidentifikasi
kelebihan
kapasitas untuk mencari kemungkinan penarikan kembali.
Mengidentifikasi
tren
beban
kerja
dan
menentukan
kemungkinan yang akan dijadikan perencanaan performa dan
kapasitas.
2.6.3.4. DS3.4 – Resources Availability
Menyediakan
kapasitas dan performa yang diperlukan,
mempertimbangkan aspek-aspek seperti beban kerja normal,
contingencies, kebutuhan penyimpanan dan siklus sumber IT.
Ketentuan-ketentuan
seperti memprioritaskan pekerjaan,
mekanisme toleransi kesalahan dan alokasi sumber harus
dibuat. Manajemen harus memastikan bahwa rencana
kontinyensi megarah pada ketersediaan, kapasitas dan
performa sumber IT invidual.
27
2.6.3.5. DS3.5 – Monitoring and Reporting
Pengawasan performa dan kapasitas sumber IT secara
berkesinambungan. Data yang dikumpulkan harus mencakup
dua tujuan :
•
Untuk menjaga performa IT yang sedang berjalan dan
mengarahkan isu seperti ketahanan, kontinyensi, beban
kerja yang sedang berjalan dan sudah diarahkan,
rencana penyimpanan, dan sumber akuisisi.
•
Untuk melaporkan ketersediaan layanan yang diberikan,
seperti yang diminta oleh SLA. Bersama dengan semua
laporan pengecualian
dengan
rekomendasi
untuk
koreksi.
2.6.4. DS4 – Ensure Continuous Service
2.6.4.1. DS4.1 – IT Continuity Framework (Kerangka Kerja IT
Jangka Panjang)
Melakukan pengembangan kerangka untuk keberlanjutan IT
untuk mendukung keberlanjutan manajemen enterprisewide
business menggunakan sebuah proses yang konsisten.
Objektifitas dari kerangka kerja harus bisa membantu
menentukan ketahanan infrastruktur yang diperlukan, dan
untuk
mengendalikan
perkembangan
dari
pemulihan
kerusakan dan rencana kontinjensi IT. Kerangka kerja harus
mengarahkan
struktur
organisasi
untuk
kelanjutan
manajemen, melindungi peran, tujuan dan tanggung jawab
dari provider layanan internal dan eksternal, manajemen dan
pelanggan mereka, serta proses perencanaan yang membuat
peraturan dan struktur kedalam dokumen, menguji dan
melaksanakan pemulihan (recovery) kerusakan serta rencana
kontinjensi IT. Rencana tersebut juga harus mengarahkan
item-item seperti identifikasi dari sumber-sumber yang
penting, mencatat key dependencies, pengawasan dan
28
pelaporan ketersediaan sumber sumber penting, proses
alternatif,
dan
prinsip-prinsip
backup
dan
recovery
(pemulihan).
2.6.4.2. DS4.2 – IT Continuity Plans
Mengembangkan rencana IT secara kontinu berdasarkan
kerangka kerja dan dirancang untuk mengurangi dampak
gangguan besar pada fungsi kunci bisnis serta proses.
Rencana tersebut harus berdasarkan pada pemahaman
terhadap
resiko
dari
dampak
bisnis
potensial
dan
mengarahkan kebutuhan pada ketahanan, proses alternatif
dan kemampuan pemulihan dari semua layanan IT yang
penting. Rencana rencana tersebut juga harus meliputi
penggunaan panduan, peranan dan tanggungjawab, prosedur,
proses komunikasi dan tes.
2.6.4.3. DS4.3 – Critical IT Resources
Memusatkan perhatian pada item-item yang dispesifikasikan
sebagai item paling penting dalam rencana kesinambungan
IT untuk membangun ketahanan dan menetapkan prioritas
dalam pemulihan situasi. Hindari gangguan dalam pemulihan
item-item yang tidak terlalu penting dan memastikan respon
serta pemulihan sejalan dengan prioritas kebutuhan dalam
bisnis, sambil memastikan biaya tetap dapat diterima, dan
sesuai
dengan
peraturan
dan
kontrak
serta
mempertimbangkan ketahanan, respon dan pemulihan untuk
tingkatan yang berbeda-beda, misalnya 1-4 jam, 4-24 jam,
lebih dari 24 jam, dan periode-periode penting dalam
operasional bisnis.
29
2.6.4.4. DS4.4 – Maintenance of The IT Continuity Plan
Mendorong
melaksanakan
manajemen
IT
perubahan
untuk
menetapkan
prosedur
kontrol,
dan
untuk
memastikan bahwa rencana IT yang berkelanjutan tetap up to
date dan secara terus menerus merefleksikan keperluan bisnis
yang
sebenarnya
dan
mengkomunikasikan
perubahan
prosedur dan tanggung jawab secara jelas dan berkala.
2.6.4.5. DS4.5 – Testing of The IT Continuity Plan
Menguji rencana IT secara teratur untuk memastikan bahwa
sistem IT dapat dipulihkan secara efektif, kekurangan/
kritikan diarahkan dan rencana tetap relevan. Hal ini
memerlukan persiapan yang lebih hati-hati, dokumentasi,
pelaporan hasil tes, dan berdasarkan pada hasil, implementasi
dari pelaksanaan rencana. Mempertimbangkan jangkauan uji
pemulihan dari aplikasi tunggal untuk mengintegrasikan
skenario test hingga end-to-end testing dan uji vendor yang
terintegrasi.
2.6.4.6. DS4.6 – IT Continuity Plan Training
Memberikan pelatihan teratur kepada semua pihak terkait,
mengenai prosedur, peranan dan tanggung jawab jika terjadi
insiden, kerusakan atau bencana. Verifikasi dan menambah
pelatihan berdasarkan hasil dari uji kontinjensi.
2.6.4.7. DS4.7 –Distribution of The IT Continuity Plan
Terdapat sebuah strategi distribusi yang telah ditentukan dan
diatur untuk memastikan bahwa rencana-rencana yang ada
layak dan terdistribusi secara aman, serta tersedia secara
sesuai kapan dan di mana pun diperlukan oleh pihak-pihak
yang berkepentingan. Perhatian harus diberikan agar rencana
dapat berjalan dalam semua kondisi bencana atau kerusakan.
30
2.6.4.8. DS4.8 – IT Services Recovery and Resumption
Melakukan penyusunan rencana tindakan yang akan diambil
selama layanan IT dipulihkan sampai dilaksanakan kembali.
Ini dapat meliputi aktivasi
alternatif,
backup sites, insisiasi proses
komunikasi pelanggan dan stakeholder, serta
melaksanakan kembali prosedur. Memastikan bahwa bisnis
dapat memahami waktu yang diperlukan untuk pemulihan IT,
dan perangkat teknologi yang diperlukan untuk mendukung
pemulihan bisnis dan keperluan untuk memulai kembali.
2.6.4.9. DS4.9 – Offsite Backup Storage (Tempat Penyimpanan
Cadangan)
a. Menyimpan offsite dari semua backup media yang penting,
dokumentasi dan sumber IT lain yang diperlukan untuk
pemulihan IT dan rencana bisnis yang berkelanjutan.
b. Menentukan isi dari penyimpanan backup, dengan
kolaborasi antara pemilik proses bisnis dan personel IT.
Manajemen fasilitas penyimpanan offsite harus merespon
kebijakan klasifikasi data dan the enterprise’s media
storage practices. Manajemen IT harus memastikan
bahwa pengaturan offsite
setidaknya
dinilai secara periodic,
tiap tahun, dalam hal isi, perlindungan
terhadap lingkungan dan keamanan.
c. Memastikan kesesuaian antara hardware dan software
untuk menyimpan data, dan secara periodik menguji dan
memperbaharui (refresh) data.
2.6.4.10. DS4.10 – Post-Resumption Review
Menjelaskan apakah manajemen IT telah membuat prosedur
untuk menilai apakah rencana untuk melanjutkan kembali
fungsi
IT
setelah
bencana
sudah
memperbaharui rencana jika diperlukan.
memadai,
serta
31
2.6.5. DS5 – Ensure Systems Security
2.6.5.1. DS5.1 – Management of IT Security
Mengatur keamanan IT dan menempatkannya di posisi yang
cukup tinggi dalam organisasi, sehingga pelaksananaan
manajemen keamanan ini sejalan dengan kepentingan bisnis.
2.6.5.2. DS5.2 –IT Security Plan
Menerjemahkan bisnis, resiko dan pemenuhan kepentingan
kedalam
rencana
keamanan
IT
secara
keseluruhan,
mempertimbangkan infrastruktur IT dan kultur keamanan.
Memastikan bahwa rencana diimplementasikan ke dalam
kebijakan
keamanan
dan
prosedur
bersama
dengan
penyediaan perlengkapan layanan, personil, hardware dan
software
secara
tepat.
Mengkomunikasikan
kebijakan
keamanan dan prosedur kepada stakeholder dan user.
2.6.5.3. DS5.3 – Identity Management
a. Memastikan bahwa semua user (internal, external dan
sementara) dan aktivitasnya dalam sistem IT (aplikasi
bisnis, lingkungan IT, sistem operasi, perkembangan dan
pemeliharaan)
dapat
diidentifikasi.
Menampilkan
identitas user lewat mekanisme pembuktian.
b. Mengkonfirmasi bahwa hak user untuk mengakses sistem
dan data sejalan dengan keperluan bisnis yang telah
ditentukan dan didokumentasikan, dan pekerjaan tersebut
tercantum dalam identitas user.
c. Memastikan bahwa hak user diatur oleh manajeman,
diterima oleh pemilik sistem, dan diterapkan oleh orang
yang bertanggung jawab terhadap keamanan.
d. Menjaga identitas user dan hak akses di tempat
penyimpanan pusat.
32
e. Menerapkan teknik efektif biaya dan langkah langkah
procedural,
dan
identifikasi
user,
menjaga
agar
menerapkan
tetap
diperlukan
otentifikasi,
dan
menegakkan hak akses.
2.6.5.4. DS5.4 – User Account Management
Permintaan alamat, membuat, mengeluarkan, penangguhan,
modifikasi dan penutupan akun user dan haknya dapat
dilakukan dengan perangkat manajemen akun user. Meliputi
sebuah prosedur penguraian data yang bisa diterima atau
pemilik sistem yang memberi hak akses. Prosedur tersebut
harus diaplikasikan pada semua user, baik administrator
maupun user internal dan eksernal, pada kondisi normal
mapun darurat. Hak dan obligasi yang berkaitan dengan
akses ke sistem perusahaan serta informasi, harus diatur
dalam kontrak untuk semua jenis pengguna. Melakukan
ulasan manajemen secara teratur untuk semua akun dan hakhak terkait.
2.6.5.5. DS5.5 – Security Testing, Surveillance and Monitoring
Menguji dan mengawasai pelaksanaan keamanan IT secara
proaktif. Keamanan IT harus di akreditasi ulang secara
berkala untuk memastikan bahwa informasi perusahaan tetap
terjaga. Fungsi pendataan dan pengawasan dapat menjadi
cara pencegahan awal dan/atau deteksi dan pelaporan bila
terjadi aktifitas yang tidak biasa yang mungkin ditemukan.
2.6.5.6. DS5.6 – Security Incident Definition
Secara
jelas
mendefinisikan
dan
mengkomunikasikan
karakteristik dari hal-hal yang potensial menimbulkan insiden
keamanan,
sehingga
dapat
diklasifikasikan
dan
33
ditindaklanjuti berdasarkan manajemen proses insiden dan
masalah.
2.6.5.7. DS5.7 – Protection of Security Technology
Membuat teknologi yang berkaitan dengan keamanan tahan
terhadap ganguan, dan tidak membocorkan dokumentasi
keamanan jika tidak diperlukan.
2.6.5.8. DS5.8 – Cryptographic Key Management
Menetapkan kebijakan dan prosedur pada tempatnya untuk
mengatur kelompok, merubah, membatalkan, kerusakan,
distribusi,
sertifikasi,
mengarsipkan
penyimpanan,
Cryptographic
Key
memasukkan
untuk
dan
memastikan
perlindungan kunci terhadap modifikasi dan kebocoran oleh
pihak yang tidak berwenang.
2.6.5.9. DS5.9 – Malicious Software Prevention, Detection and
Correction
Meletakkan tindakan preventif, detektif dan korektif pada
tempatnya (terutama pola kemanan yang up to date dan
kontrol virus) dalam organisasi, untuk melindungi sistem
informasi dan teknologi dari malware (misal virus, worms,
spyware, spam)
2.6.5.10. DS5.10 – Network Security
Menggunakan teknik keamanan dan prosedur keamanan yang
terkait (misal firewalls, aplikasi sekuriti, segmentasi jaringan
deteksi gangguan) untuk memberi akses dan mengkontrol
aliran informasi dari dan ke jaringan.
2.6.5.11. DS5.11 – Exchange of SensitiveData
Pertukaran transaksi data positif hanya melalui jalur atau
media yang bisa dipercaya, dengan kontrol untuk menjaga
34
keaslian data, bukti penyerahan, bukti penerimaan dan nonrepudiation of origin.
2.6.6. DS7 – Educate and Train Users
2.6.6.1. DS7.1 – Identification of Education and Training Needs
Membuat dan secara teratur memperbaharui kurikulum untuk
tiap-tiap
target
kelompok
karyawan
dengan
mempertimbangkan aspek-aspek :
•
Kebutuhan bisnis serta strategi saat ini dan dimasa
depan
•
Nilai informasi sebagai asset
•
Nilai nilai perusahaan (nilai etika, kebiasaan kontrol
dan keamanan yang berlaku)
•
Implementasi dari infrastruktur dan software baru
(misal pengemasan, aplikasi)
•
Kemampuan saat ini dan dimasa depan, profil
kompetensi, dan sertifikasi dan/ atau keperluan
pembuatan surat (credentialing needs) yang diperlukan
untuk reakreditasi.
2.6.6.2. DS7.2 – Delivery of Training and Education
Berdasarkan hasil identifikasi kebutuhan pendidikan dan
pelatihan, serta mengidentifikasi target kelompok dan
anggotanya, diperoleh mekanisme penyampaian yang efisien,
guru, pelatih dan mentor. Menunjuk pelatih dan mengatur
waktu sesi pelatihan. Mencatat registrasi (termasuk prasyarat),
kehadiran, dan sesi evaluasi pelatihan.
2.6.6.3. DS7.3 – Evaluation of Training Received
Mengevaluasi materi yang disampaikan dalam pendidikan
dan pelatihan, mengenai relevansi, kualitas, efektifitas, nilai
dan biaya. Hasil dari evaluasi ini harus dijadikan masukan
35
untuk dalam pembuatan kurikulum dan penyampaian
pelatihan yang akan datang.
2.6.7. DS8 – Manage Service Desk and Incidents
2.6.7.1. DS8.1 – Service Desk
Menentukan fungsi dari service desk, dengan user interface
dilengkapi
IT,
untuk
mencatat,
mengkomunikasikan,
menelpon dan menerima serta menganalisa semua telepon
masuk. melaporkan insiden, melayani permintaan dan
memberikan
informasi.
Harus
ada
pengawasan
dan
peningkatan prosedur berdasarkan service level yang
disepakati,
berkaitan
dengan
SLA
yang
tepat
yang
memungkinkan dilakukannya klasifikasi dan penentuan
prioritas dari isu-isu yang dilaporkan sebagai insiden,
melayani permintaan dan informasi. Mengukur kepuasan end
user dengan kualitas meja layanan dan layanan IT.
2.6.7.2. DS8.2 – Registration of Customer Queries
Membuat sebuah sistem dan fungsi yang memungkinkan
untuk mendata dan melacak telepon, insiden, permintaan
layanan dan informasi yang diperlukan. Harus berjalan
berdampingan dengan proses-proses seperti manajeman
insiden,
manajemen
masalah,
perubahan
manajemen,
kapasitas manajemen dan ketersediaan manajemen. Insiden
harus diklasifikasikan menurut prioritas bisnis dan layanan
dan mencakup tim manajemen pemecahan masalah, jika
diiperlukan. Pelanggan harus tetap diberi informasi mengenai
status permintaan mereka.
2.6.7.3. DS8.3 – Incident Escalation
Membuat prosedur meja layanan, sehinggan permasalahan
yang tidak bisa segera diselesaikan, meningkat sesuai dengan
36
batas yang dijelaskan dalam SLA, dan jika memungkinkan
disediakan workarounds. Memastikan bahwa kepemilikan
insiden dan siklusnya tetap terawasi, dengan meja layanan
sebagai user-based incidents, tanpa menghiraukan kelompok
IT mana yang mengerjakan resolusinya.
2.6.7.4. DS8.4 – Incident Closure
Membuat prosedur untuk pengawasan secara berkala dari
pemenuhan permintaan pelanggan. Ketika insiden berhasil
diselesaikan, pastikan bahwa meja layanan mencatat tahaptahap penyelesaian, dan mengkonfirmasi bahwa tindakan
yang dilakukan telah disetujui oleh pelanggan. Catat dan
laporkan juga mengenai insiden yang tidak terselesaikan
(dikenal dengan error dan workaround), sebagai bahan
informasi untuk menjalankan manajemen masalah dengan
baik.
2.6.7.5. DS8.5 – Reporting and Trend Analysis)
Membuat laporan aktifitas meja layanan, agar manajemen
dapat menilai performa dan waktu dalam pemberian layanan
untuk mengidentifikasi kecenderungan yang terjadi, atau
memecahkan masalah, sehingga layanan dapat terus menjadi
lebih baik.
2.6.8. DS10 – Manage Problems
2.6.8.1. DS10.1 – Identification and Classification of Problems
Menjalankan
proses
untuk
melaporkan
dan
mengklasifikasikan masalah yang telah diketahui sebagai
bagian dari manajemen insiden. Langkah-langkah yang
termasuk dalam klasifikasi masalah sama dengan langkahlangkah
mengklasifikasi
insiden;
dimana
harus
37
dikelompokkan berdasarkan kategori, dampak, urgensi dan
prioritas.
Mengkategorikan masalah menjadi kelompok-kelompok atau
domain (misalnya hardware, software, software pendukung).
Kelompok-kelompok tersebut sebaiknya sesuai dengan
tanggungjawab organisasional dari user dan pelanggan, dan
harus menjadi dasar
alokasi masalah untuk mendukung
personil.
2.6.8.2. DS10.2 – Problem Tracking and Resolution
Memastikan bahwa sistem manajemen masalah memberikan
fasilitas audit yang memadai yang memungkinkan untuk
dilakukan pelacakan, analisa dan penentuan akar masalah
dari semua permasalahan yang dilaporkan, meliputi :
•
Semua item konfigurasi yang terkait
•
Permasalahan dan insiden besar
•
Eror yang sudah diketahui atau diduga eror
•
Melacak arah permasalahan
Mengidentifikasi dan mulai mencari solusi yang mengarah
pada akar permasalahan, menungkinkan adanya permintaan
untuk
proses
perubahan manajemen. Lewat proses
penyelesaian, manajemen masalah harus memberkan laporan
secara teratur dari perubahan manajemen yang sedang
berjalan seiring dengan pemecahan masalah. Manajemen
masalah harus mengawasi dampak yang terjadi akibat
masalah dan error terhadap layanan user. Jika dampak ini
semakin berat, manajemen masalah harus ditingkatkan untuk
mengatasi masalah tersebut, mungkin dengan merujuk ke
pihak yang tepat, untuk meningkatkan prioritas dari RFC,
atau untuk melaksanakan perubahan segera. Mengawasi
perkembangan
dengan SLA
pemecahan
masalah
yang bertentangan
38
2.6.8.3. DS10.3 – Problem Closure
Membuat sebuah prosedur pemecahan masalah, baik setelah
berhasil diselesaikan atau diketahui sebagai error, setelah
disesuaikan dengan bisnis, mengenai bagaimana mengatasi
masalah tersebut.
2.6.8.4. DS10.4 – Integration of Configuration, Incident and
Problem Management
Mengintegrasikan proses-proses konfigurasi yang terkait,
manajemen masalah dan insiden untuk memastikan bahwa
manajemen masalahn sudah cukup efektif dan dapat
dikembangkan.
2.6.9. DS11 – Manage Data
2.6.9.1. DS11.1 – Business Requirement for Data Management
Verifikasi bahwa semua data yang diperlukan untuk
prosesing diperoleh dan diproses secara lengkap, akurat dan
tepat pada waktunya, dan semua output diberikan sesuai
dengan kepentingan bisnis. Mendukung keperluan restart dan
reprocessing.
2.6.9.2. DS11.2 – Storage and Retention Arrangements
Menentukan dan menjalankan prosedur penyimpanan data
yang efektif dan efisien, tahan dan dapat diarsipkan untuk
kepentingan bisnis, kebijakan organisasi dan regulasi.
2.6.9.3. DS11.3 – Media Library Management System
Menentukan dan menjalankan prosedur untuk menjaga media
yang sudah disimpan dan diarsipkan, untuk memastikan
bahwa media tersebut dapat digunakan.
39
2.6.9.4. DS11.4 – Disposal
Menentukan dan menjalankan prosedur untuk memastikan
bahwa kepentingan bisnis mengenai perlindungan data dan
software sensitif dapat dijalankan ketika data dan hardware
dipindahkan atau ditempatkan.
2.6.9.5. DS11.5 – Backup and Restoration
Menentukan menjalankan prosedur sistem backup dan
restorasi, aplikasi, data dan dokumentasi, sejalan dengan
permintaan bisnis dan rencana jangka panjang.
2.6.9.6. DS11.6 – Security Requirements for Data Management
Menentukan dan mengimplementasikan kebijakan dan
prosedur
untuk
mengidentifikasi
dan
menjalankan
kepentingan keamanan yang dapat diterima, diproses,
disimpan, dan menghasilkan data sesuai dengan keperluan
bisnis, kebijakan organisasi dan regulasi.
2.6.10. DS12 – Manage The Physical Environment
2.6.10.1. DS12.1 – Site Selection and Layout
Mendefinisikan dan memilih lokasi fisik untuk peralatan
untuk mendukung strategi teknologi yang berkaitan dengan
strategi bisnis. Pemilihan dan desain dari tata letak sebuah
lokasi harus memperhitungkan resiko yang terkait dengan
bencana alam dan bencana buatan manusia, selain itu juga
harus mempertimbangkan undang-undang dan peraturan
yang relevan seperti kesehatan dan peraturan keselamatan.
2.6.10.2. DS12.2 – Physical Security Measures
Menentukan dan menjalankan langkah-langkah keamanan
fisik sejalan dengan kepentingan bisnis untuk mengamankan
lokasi dan aset. Langkah-langkah keamanan fisik harus
40
secara efektif mencegah, mendeteksi, dan mengurangi resiko
yang berkaitan dengan pencurian, suhu, kebakaran, asap, air,
getaran, teror, kekerasan, pemadaman listrik, ledakan dan
bahan kimia.
2.6.10.3. DS12.3 – Physical Access
Menentukan dan menjalankan prosedur untuk memberi,
membatasi dan menarik kembali akses ke tempat, gedung dan
daerah, sesuai dengan kepentingan bisnis, termasuk dalam
keadaan darurat. Akses ke tempat, gedung dan daerah harus
ditentukan, diberi kewenangan, didata dan diawasi. Ini harus
di terapkan pada semua pihak yang memasuki wilayah,
termasuk staf, staf sementara, klien, vendor, tamu dan pihak
ketiga lainnya.
2.6.10.4. DS12.4 – Protection Against Environmental Factors
Merancang dan menjalankan langkah-langkah perlindungan
terhadap faktor-faktor lingkungan. Menginstal peralatan
tertentu untuk mengawasi dan mengkontrol lingkungan.
2.6.10.5. DS12.5 – Physical Facilities Management
Mengatur fasilitas, termasuk perlengkapan komunikasi dan
power,
sejalan
dengan
hukum
dan
undang-undang,
kepentingan teknis dan bisnis, spesifikasi vendor, serta
panduan keselamatan dan kesehatan kerja
2.6.11. DS13 – Manage Operations
2.6.11.1. DS13.1 – Operations Procedures and Constructions
Menentukan, menjalankan dan menjaga prosedur operasional
IT, memastikan bahwa anggota staf operasional sudah
familiar dengan semua tugasnya. Prosedur operasional harus
meliputi cover shift handover (penyerahan aktifitas secara
41
formal, pembaruan status, masalah-masalah operasional,
peningkatan prosedur dan laporan pertangungjawaban) untuk
mendukung kesepakatan dalam layanan, dan memastikan
bahwa semua tetap berjalan.
2.6.11.2. DS13.2 – Job Scheduling
Menentukan, menjalankan dan menjaga prosedur operasional
IT, memastikan bahwa anggota staf operasional sudah
familiar dengan semua tugasnya. Prosedur operasional
2.6.11.3. DS13.3 – IT Infrastructure Monitoring
Menentukan dan menjalankan prosedur untuk mengawasi
infrastruktur IT dan hal-hal yang berkaitan. Memastikan
bahwa informasi kronologis yang cukup telah disimpan
dalam operation logs
agar bisa dilakukan rekonstruksi,
ulasan dan pemeriksaan secara berkala, serta mengawasi
aktifitas lain di sekitar atau yang mendukung operasional.
2.6.11.4. DS13.4 – Sensitive Documents and Output Devices
Membuat panduan keamanan fisik yang layak, perangkat
akunting, dan manajemen inventaris ases-aset IT yang
sensitif,
seperti
formulir-formulir
khusus,
instrumen-
instrumen, printer untuk tujuan tertentu atau perangkat
keamanan.
2.6.11.5. DS13.5 – Preventive Maintenance for Hardware
Menentukan dan menjalankan prosedur untuk memastikan
perawatan berkala infrastruktur untuk mengurangi frekuensi
dan dampak kegagalan atau penurunan performa.
42
2.7 Mauturity Model dari Domain Delivery and Support
2.7.1. DS1 Define and Manage Service Levels
Manajemen untuk proses mendefinisikan dan mengelola tingkat
layanan yang memenuhi kebutuhan bisnis IT untuk memastikan
penyelarasan layanan IT utama dengan nilai tingkat kematangan dari
0 sampai dengan 5, seperti yang sudah ditetapkan oleh ITGI, yang
didefinisikan sebagai berikut :
0 Non-existent
Manajemen
belum
menyadari
perlunya
suatu
proses
untuk
menentukan tingkat layanan. Akuntabilitas dan tanggung jawab untuk
memonitor hal tersebut tidak ditugaskan.
1 Initial/Ad Hoc
Ada kesadaran akan kebutuhan untuk mengelola tingkat layanan,
namun proses ini informal dan reaktif. Tanggung jawab dan
akuntabilitas untuk mendefinisikan dan mengelola layanan belum
ditetapkan. Jika terdapat pengukuran kinerja, maka hanya bersifat
kualitatif dengan tujuan yang didefinisikan secara kurang tepat.
Pelaporan bersifat informal, hanya terkadang dan tidak konsisten.
2 Repeatable but Intuitive
Ada tingkat layanan yang telah disepakati, tetapi masih bersifat
informal dan belum ditinjau. Pelaporan tingkat layanan tidak lengkap
dan mungkin tidak relevan atau menyesatkan bagi pelanggan.
Pelaporan tingkat layanan tergantung pada keterampilan dan inisiatif
dari masing-masing individu manajer. Seorang koordinator tingkat
layanan diangkat dengan tanggung jawab yang terdefinisi, namun
kewenangannya terbatas. Jika suatu proses untuk memenuhi SLA ada,
itu bersifat sukarela dan tidak mengikat.
43
3 Defined
Tanggung jawab didefinisikan dengan baik, tetapi dengan otoritas
yang diskrit. Proses pengembangan SLA ditempatkan dengan pos-pos
pemeriksaan untuk mengkaji ulang tingkat layanan dan kepuasan
pelanggan. Jasa dan tingkat layanan didefinisikan, didokumentasikan
dan telah disepakati menggunakan proses standar. Kekurangan tingkat
layanan teridentifikasi, tetapi prosedur tentang bagaimana mengatasi
kekurangan masih bersifat informal. Ada hubungan yang jelas antara
pencapaian tingkat layanan yang diharapkan dan dana yang disediakan.
Tingkat layanan disetujui, tetapi mungkin belum mengarah pada
kebutuhan bisnis.
4 Managed and Measurable
Tingkat layanan semakin terdefinisi dalam fase definisi permintaan
sistem dan tergabung ke dalam desain aplikasi dan lingkungan
operasional. Kepuasan pelanggan secara rutin diukur dan dinilai.
Pengukuran kinerja lebih mencerminkan kebutuhan pelanggan
daripada tujuan IT. Langkah-langkah untuk menilai tingkat layanan
menjadi standar dan mencerminkan norma industri. Kriteria untuk
mendefinisikan tingkat layanan didasarkan pada kekritisan bisnis dan
mengikut-sertakan
ketersediaan,
keandalan,
kinerja,
kapasitas
pertumbuhan, dukungan pengguna, perencanaan kesinambungan dan
pertimbangan keamanan. Analisis akar permasalahan secara rutin
dilakukan ketika tingkat pelayanan tidak terpenuhi. Proses pelaporan
untuk memantau tingkat layanan menjadi semakin otomatis.
Operasional dan risiko keuangan yang terkait dengan kesepakatan
tingkat layanan yang tidak terpenuhi ditetapkan dan dipahami dengan
jelas. Sebuah sistem formal untuk melakukan pengukuran dibentuk
dan dipelihara.
44
5 Optimised
Tingkat layanan terus menerus dievaluasi kembali untuk memastikan
keselarasan IT dan tujuan bisnis, sementara mengambil keuntungan
dari teknologi, termasuk rasio biaya-manfaat. Semua manajemen
proses tingkat layanan diberlakukan untuk perbaikan berkelanjutan.
Tingkat kepuasan pelanggan secara terus menerus dipantau dan
dikelola. Tingkat layanan yang diharapkan mencerminkan tujuan
strategis dari unit bisnis dan dievaluasi terhadap norma industri.
Manajemen IT memiliki sumber daya dan akuntabilitas yang
dibutuhkan untuk memenuhi target tingkat layanan, dan kompensasi
ini disusun untuk memberikan insentif untuk memenuhi target ini.
Manajemen senior memantau metrik kinerja sebagai bagian dari
proses perbaikan berkelanjutan.
2.7.2. DS2 Manage Third-party Services
Manajemen dari proses mengelola layanan pihak ketiga yang
memenuhi persyaratan bisnis untuk IT dari pemberian layanan pihak
ketiga yang memuaskan yang juga transparan mengenai manfaat,
biaya dan risiko dengan nilai tingkat kematangan dari 0 sampai
dengan 5, seperti yang sudah ditetapkan oleh ITGI,
yang
didefinisikan sebagai berikut :
0 Non-existent
Tanggung jawab dan akuntabilitas tidak didefinisikan. Tidak ada
kebijakan formal dan prosedur tentang kontrak dengan pihak ketiga.
Layanan pihak ketiga tidak disetujui atau tidak dikaji oleh manajemen.
Tidak ada kegiatan pengukuran dan tidak ada pelaporan oleh pihak
ketiga. Dengan tidak adanya kewajiban kontrak untuk pelaporan,
manajemen senior tidak menyadari kualitas layanan yang diterimanya.
45
1 Initial/Ad Hoc
Manajemen menyadari kebutuhan untuk memiliki kebijakan yang
terdokumentasi dan prosedur pengelolaan pihak ketiga, termasuk
kontrak yang telah ditandatangani. Tidak ada persyaratan standar
perjanjian dengan penyedia layanan. Pengukuran layanan yang
diberikan bersifat informal dan reaktif. Praktek tergantung pada
pengalaman (misalnya, permintaan) dari individu dan pemasok.
2 Repeatable but Intuitive
Proses untuk mengawasi penyedia layanan pihak ketiga, risiko terkait
dan penyediaan layanan bersifat informal. Pro forma kontrak
digunakan dengan vendor standar dan kondisi (misalnya, deskripsi
layanan yang akan diberikan). Laporan tentang layanan yang
diberikan sudah tersedia, tetapi tidak mendukung tujuan bisnis.
3 Defined
Prosedur yang terdokumentasi dengan baik disimpan pada tempatnya
untuk mengatur layanan pihak ketiga, dengan proses yang jelas untuk
pemeriksaan dan negosiasi dengan vendor. Ketika sebuah perjanjian
untuk penyediaan jasa dibuat, hubungan dengan pihak ketiga adalah
murni sebuah kontrak. Sifat dari layanan yang akan diberikan secara
rinci dalam kontrak dan mencakup persyaratan hukum, operasional
dan kontrol. Tanggung jawab untuk mengawasi layanan pihak ketiga
diberikan. Persyaratan kontrak didasarkan pada template yang sudah
standar. Risiko bisnis yang berkaitan dengan layanan pihak ketiga
dinilai dan dilaporkan.
4 Managed and Measurable
Kriteria yang formal dan standar telah ditetapkan untuk menentukan
persyaratan keterlibatan, termasuk lingkup kerja, layanan / kiriman
yang akan diberikan, asumsi, jadwal, biaya pengaturan penagihan, dan
tanggung jawab. Tanggung jawab untuk kontrak dan manajemen
46
vendor telah ditugaskan. Kualifikasi, risiko dan kemampuan vendor
diverifikasi secara terus menerus. Persyaratan layanan didefinisikan
dan dihubungkan dengan tujuan bisnis. Sebuah proses ada untuk
meninjau
kinerja
pelayanan
terhadap
persyaratan
kontrak,
memberikan masukan untuk menilai keadaan saat ini dan masa depan
dari layanan pihak ketiga. Model “transfer pricing” digunakan dalam
proses pengadaan. Semua pihak yang terlibat menyadari harapan
pelayanan, biaya dan peristiwa. Tujuan yang disepakati dan metrik
untuk pengawasan dari penyedia layanan sudah ada.
5 Optimised
Kontrak yang ditandatangani dengan pihak ketiga ditinjau secara
berkala pada interval yang telah ditentukan. Tanggung jawab untuk
mengelola pemasok dan kualitas layanan yang diberikan telah
ditugaskan. Bukti kepatuhan kontrak untuk operasional, ketentuan
hukum dan kontrol dipantau, dan tindakan korektif diberlakukan.
Pihak ketiga ditugaskan untuk melakukan tinjauan independen berkala,
dan umpan balik pada kinerja disediakan dan digunakan untuk
meningkatkan layanan. Pengukuran bervariasi dalam menanggapi
kondisi bisnis yang berubah. Pengukuran mendukung deteksi dini dari
potensi masalah dengan layanan pihak ketiga. Lengkapnya, laporan
terdefinisi dari pencapaian tingkat layanan terkait dengan kompensasi
pihak ketiga. Manajemen menyesuaikan proses akuisisi layanan pihak
ketiga dan pemantauan berdasarkan dari pengukuran.
2.7.3. DS3 Manage Performance and Capacity
Manajemen dari proses mengelola kinerja dan kapasitas yang
memenuhi kebutuhan bisnis IT dengan mengoptimalkan kinerja
infrastruktur IT, sumber daya dan kemampuan dalam merespon
kebutuhan bisnis dengan nilai tingkat kematangan dari 0 sampai
dengan 5, seperti yang sudah ditetapkan oleh ITGI,
didefinisikan sebagai berikut :
yang
47
0 Non-existent
Manajemen tidak mengakui bahwa kunci proses bisnis mungkin
memerlukan tingkat kinerja yang tinggi dari IT atau bahwa kebutuhan
bisnis secara keseluruhan untuk jasa IT dapat melebihi kapasitas.
Tidak ada proses perencanaan kapasitas di tempat.
1 Initial/Ad Hoc
User akan merencanakan/merancang solusi bagi hambatan dalam hal
kinerja dan kapsitas. Ada apresiasi yang sangat sedikit dari kebutuhan
untuk perencanaan kapasitas dan kinerja oleh pemilik proses bisnis.
Tindakan yang diambil terhadap kinerja pengelolaan dan kapasitas
biasanya reaktif. Proses untuk perencanaan kapasitas dan kinerja
bersifat informal. Pemahaman kapasitas saat ini dan masa depan dan
kinerja sumber daya IT terbatas.
2 Repeatable but Intuitive
Manajemen bisnis dan IT menyadari dampak dari tidak mengelola
kinerja dan kapasitas. Kebutuhan kinerja umumnya dipenuhi
berdasarkan penilaian sistem individu dan pengetahuan dari tim
dukungan dan proyek. Beberapa alat individu dapat digunakan untuk
mendiagnosa masalah kinerja dan kapasitas, tetapi konsistensi hasil
tergantung pada keahlian individu kunci. Tidak ada penilaian IT
secara keseluruhan dari kinerja IT atau pertimbangan akan kondisi
puncak dan terburuk dalam memuat situasi. Ketersediaan masalah
yang mungkin terjadi dalam cara yang acak dan tak terduga dan
mengambil waktu yang cukup untuk mendiagnosa dan benar. Setiap
pengukuran kinerja didasarkan terutama pada kebutuhan IT dan bukan
pada kebutuhan pelanggan.
3 Defined
48
Kinerja dan kapasitas yang dibutuhkan didefinisikan di seluruh daur
hidup sistem. Ada persyaratan tingkat layanan terdefinisi dan metrik
yang dapat digunakan untuk mengukur kinerja operasional. Masa
depan kinerja dan kapasitas persyaratan dimodelkan mengikuti proses
yang didefinisikan. Laporan yang dihasilkan memberikan statistik
kinerja. Kinerja dan masalah yang terkait dengan kapasitas masih
mungkin terjadi dan memakan waktu untuk memperbaikinya.
Meskipun terdapat tingkat layanan, pengguna dan pelanggan mungkin
meragukan kemampuan layanan.
4 Managed and Measurable
Proses dan alat-alat yang tersedia untuk mengukur penggunaan sistem,
kinerja dan kapasitas, dan hasil diperbandingkan dengan tujuan yang
ditetapkan. Informasi yang up-to-date telah tersedia, memberikan
statistik kinerja standar dan mengingatkan insiden yang disebabkan
oleh kurangnya kinerja dan kapasitas. Isu kurangnya kinerja dan
kapasitas yang ditangani sesuai dengan prosedur yang didefinisikan
dan dibakukan. Alat otomatis digunakan untuk memantau sumber
daya khusus, seperti kapasitas disk, jaringan, server dan gateway
jaringan. Kinerja dan kapasitas statistik dilaporkan dalam proses
bisnis, sehingga pengguna dan pelanggan memahami tingkat layanan
IT. Pengguna umumnya merasa puas dengan kemampuan jasa saat ini
dan mungkin menuntut tingkat ketersediaan yang baru dan lebih baik.
Metrik untuk mengukur kinerja IT dan kapasitas telah disepakati
tetapi mungkin hanya secara sporadis dan tidak konsisten diterapkan.
5 Optimised
Rencana kinerja dan kapasitas sepenuhnya diselaraskan dengan
ramalan permintaan bisnis. Permintaan infrastruktur dan bisnis IT
akan dikaji secara berkala untuk memastikan bahwa kapasitas
optimum dicapai pada biaya serendah mungkin. Alat untuk
pemantauan kritis sumber daya IT dibakukan dan digunakan di
49
seluruh platform dan terkait dengan sistem manajemen insiden
keseluruhan organisasi. Pemantauan alat mendeteksi dan secara
otomatis dapat memperbaiki masalah kinerja dan kapasitas terkait.
Tren analisis dilakukan dan menunjukkan masalah kinerja yang akan
terjadi yang disebabkan oleh kenaikan volume bisnis, memungkinkan
perencanaan dan penghindaran isu-isu yang tak terduga. Metrik untuk
mengukur kinerja dan kapasitas IT telah diatur dengan baik untuk
menjadi ukuran hasil dan indikator kinerja untuk semua proses bisnis
kritis dan diukur secara konsisten. Manajemen menyesuaikan
perencanaan untuk kinerja dan kapasitas berikut analisis dari
pengukuran.
2.7.4. DS4 Ensure Continuous Service
Manajemen dari proses pelayanan yang memastikan layanan
berkelanjutan yang memenuhi kebutuhan bisnis IT untuk memastikan
dampak bisnis yang minimal dalam hal gangguan layanan IT dengan
nilai tingkat kematangan dari 0 sampai dengan 5, seperti yang sudah
ditetapkan oleh ITGI, yang didefinisikan sebagai berikut :
0 Non-existent
Tidak ada pemahaman dari risiko, kerentanan, dan ancaman terhadap
operasi IT atau dampak dari hilangnya layanan IT bagi bisnis.
Kontinuitas layanan dianggap tidak memerlukan perhatian manajemen.
1 Initial/Ad Hoc
Tanggung jawab untuk memberikan layanan secara kontinu adalah
informal, dan kewenangan untuk mengeksekusi tanggung jawab
terbatas.
Manajemen
menyadari
risiko
yang
berkaitan
dan
diperlukannya layanan yang kontinu. Fokus perhatian manajemen
pada layanan secara kontinu ada di sumber daya infrastruktur, bukan
pada layanan IT. Pengguna menerapkan workarounds dalam
menanggapi gangguan pelayanan. Tanggapan IT untuk gangguan
50
utama adalah reaktif dan tidak dipersiapkan. Rencana pemadaman
dijadwalkan
untuk
memenuhi
kebutuhan
IT
tapi
tidak
mempertimbangkan kebutuhan bisnis.
2 Repeatable but Intuitive
Tanggung jawab untuk memastikan layanan secara kontinu telah
diberikan. Pendekatan untuk memastikan layanan secara kontinu telah
terfragmentasi. Pelaporan ketersediaan sistem bersifat sporadis,
mungkin tidak lengkap dan tidak membawa dampak bisnis ke dalam
akun. Tidak ada rencana kesinambungan IT yang didokumentasikan,
walaupun ada komitmen untuk ketersediaan layanan secara kontinu
dan prinsip-prinsip utama yang diketahui. Inventarisasi sistem kritis
dan komponen ada, tetapi mungkin tidak dapat diandalkan. Praktek
pelayanan terus menerus muncul, tetapi sukses bergantung pada
individu.
3 Defined
Akuntabilitas untuk pengelolaan layanan secara kontinu tidak lagi
membingungkan. Tanggung jawab untuk perencanaan layanan secara
kontinu dan pengujian secara jelas didefinisikan dan ditetapkan.
Rencana kesinambungan IT telah didokumentasikan dan berdasarkan
kekritisan sistem dan dampak bisnis. Ada laporan periodik pengujian
pelayanan yang berkesinambungan. Individu mengambil inisiatif
untuk mengikuti standar dan menerima pelatihan untuk menghadapi
insiden
besar
atau
bencana.
Manajemen
konsisten
mengkomunikasikan kebutuhan untuk memastikan rencana pelayanan
yang
berkesinambungan.
Ketersediaan
tinggi
komponen
dan
redundansi sistem diterapkan. Inventarisasi komponen dan sistem
kritis dipertahankan.
51
4 Managed and Measurable
Tanggung jawab dan standar untuk layanan secara kontinu diterapkan.
Tanggung jawab untuk mempertahankan rencana layanan secara
kontinu diberikan. Kegiatan pemeliharaan didasarkan pada hasil
pengujian layanan secara kontinu, praktek-praktek internal yang baik,
dan perubahan IT dan lingkungan bisnis. Data terstruktur tentang
layanan secara kontinu sedang dikumpulkan, dianalisa, dilaporkan dan
ditindaklanjuti. Pelatihan formal dan wajib diberikan pada proses
pelayanan yang berkesinambungan. Praktek sistem ketersediaan yang
baik secara konsisten diterapkan. Ketersediaan rencana praktek dan
kelangsungan layanan mempengaruhi satu sama lain. Insiden
diskontinuitas diklasifikasikan, dan jalur peningkatan eskalasi untuk
masing-masing dikenal untuk semua yang terlibat. Tujuan dan metrik
untuk layanan secara kontinu telah dikembangkan dan disepakati
tetapi mungkin tidak konsisten diukur.
5 Optimised
Proses pelayanan berkesinambungan terpadu memperhitungkan
pembandingan dan praktek eksternal terbaik. Rencana kesinambungan
IT terintegrasi dengan kelangsungan rencana bisnis dan secara rutin
dipelihara. Persyaratan untuk menjamin layanan secara kontinu
dijamin dari vendor dan pemasok utama. Pengujian global dari
rencana kesinambungan IT terjadi, dan hasil pengujian dimasukan
untuk memperbarui rencana tersebut. Pengumpulan dan analisis data
digunakan untuk perbaikan terus-menerus dari proses. Ketersediaan
praktek dan perencanaan layanan secara kontinu sepenuhnya selaras.
Manajemen memastikan bahwa bencana atau insiden besar tidak akan
terjadi sebagai hasil dari satu titik kegagalan. Eskalasi praktek
dipahami dan ditegakkan secara menyeluruh. Tujuan dan metrik pada
pencapaian layanan secara kontinu diukur secara sistematis.
Manajemen menyesuaikan perencanaan layanan secara kontinu dalam
menanggapi tindakan.
52
2.7.5. DS7 Educate and Train Users
Manajemen dari proses mendidik dan melatih pengguna yang
memenuhi persyaratan bisnis untuk IT secara efektif dan efisien
menggunakan aplikasi dan solusi teknologi dan memastikan
pemenuhan pengguna dengan kebijakan dan prosedur dengan nilai
tingkat kematangan dari 0 sampai dengan 5, seperti yang sudah
ditetapkan oleh ITGI, yang didefinisikan sebagai berikut :
0 Non-existent
Pelatihan dan program pendidikan yang benar-benar kurang.
Organisasi bahkan tidak menyadari bahwa ada masalah yang harus
diatasi berkaitan dengan pelatihan, dan tidak ada komunikasi dalam
masalah ini.
1 Initial/Ad Hoc
Ada bukti bahwa organisasi telah mengakui kebutuhan untuk program
pelatihan dan pendidikan, tetapi tidak ada standardisasi proses.
Dengan tidak adanya program terorganisir, karyawan mengidentifikasi
dan mengikuti pelatihan sendiri. Beberapa pelatihan ditujukan untuk
menangani masalah perilaku etis, kesadaran sistem keamanan dan
praktik keamanan. Pendekatan manajemen keseluruhan kekurangan
suatu kohesi, dan hanya ada komunikasi sporadis dan tidak konsisten
tentang isu-isu dan pendekatan yang ditujukan untuk pelatihan dan
pendidikan.
2 Repeatable but Intuitive
Ada kesadaran akan perlunya program pelatihan dan pendidikan dan
untuk proses terkait di seluruh organisasi. Pelatihan
mulai
diidentifikasi dalam rencana kinerja individu karyawan. Proses
dikembangkan ke tahap di mana pelatihan informal dan kelas-kelas
pendidikan yang diajarkan oleh instruktur yang berbeda, sementara
53
untuk mencakup materi pelajaran yang sama dengan pendekatan yang
berbeda. Beberapa kelas mengatasi masalah perilaku etis dan
kesadaran sistem keamanan dan praktek. Ada ketergantungan yang
tinggi pada pengetahuan individu. Namun, ada komunikasi yang
konsisten pada isu-isu secara keseluruhan dan kebutuhan untuk
mengatasinya.
3 Defined
Sebuah program pelatihan dan pendidikan telah ditetapkan dan
dikomunikasikan, dan karyawan dan manajer mengidentifikasi dan
mendokumentasikan kebutuhan pelatihan. Proses pelatihan dan
pendidikan telah distandardisasikan dan didokumentasikan. Anggaran,
sumber daya, fasilitas dan pelatih sedang dibentuk untuk mendukung
program pelatihan dan pendidikan. Kelas formal diberikan kepada
karyawan mengenai kode etik dan kesadaran sistem keamanan dan
praktek. Sebagian besar pelatihan dan proses pendidikan dimonitor,
tetapi tidak semua penyimpangan yang mungkin terdeteksi oleh
manajemen. Analisis masalah pelatihan dan pendidikan hanya
sewaktu-waktu diterapkan.
4 Managed and Measurable
Ada
pelatihan
komprehensif
dan
program
pendidikan
yang
memberikan hasil yang dapat diukur. Tanggung jawab jelas, dan
kepemilikan proses didirikan. Pelatihan dan pendidikan merupakan
komponen dari jalur karir karyawan. Manajemen mendukung dan
mengikuti sesi pelatihan dan pendidikan. Semua karyawan menerima
perilaku etis dan pelatihan kesadaran sistem keamanan. Seluruh
karyawan menerima pelatihan sistem keamanan pada level yang
sesuai dalam melindungi bahaya dari kegagalan yang mempengaruhi
ketersediaan, kerahasiaan dan integritas. Manajemen memonitor
pemenuhan dengan terus-menerus meninjau dan memperbarui
54
program pelatihan dan pendidikan dan proses. Proses sedang dalam
perbaikan dan melaksanakan praktek internal terbaik.
5 Optimised
Pelatihan dan pendidikan menghasilkan peningkatan kinerja individu.
Pelatihan dan pendidikan merupakan komponen penting dari jalur
karir karyawan. Anggaran yang memadai, sumber daya, fasilitas dan
instruktur telah disediakan untuk program pelatihan dan pendidikan.
Proses yang halus dan dilakukan perbaikan terus-menerus, mengambil
keuntungan dari praktek-praktek eksternal terbaik dan model jatuh
tempo dengan membandingkan terhadap organisasi lain. Semua
masalah dan penyimpangan dianalisis akar penyebabnya, dan tindakan
efisien secara bijaksana diidentifikasi dan diambil. Ada sikap positif
berkaitan dengan perilaku etis dan prinsip-prinsip sistem keamanan.
IT digunakan secara luas, terpadu dan dioptimalkan untuk
mengotomatisasi dan menyediakan alat untuk pelatihan dan program
pendidikan. Ahli pelatihan eksternal dimanfaatkan, dan tolok ukur
digunakan sebagai panduan.
2.7.6. DS8 Manage Service Desk and Incidents
Manajemen dari proses mengelola meja layanan dan insiden, yang
memenuhi persyaratan bisnis IT untuk memungkinkan penggunaan
yang efektif dari sistem IT dengan resolusi memastikan dan analisis
query pengguna akhir, pertanyaan dan insiden dengan nilai tingkat
kematangan dari 0 sampai dengan 5, seperti yang sudah ditetapkan
oleh ITGI, yang didefinisikan sebagai berikut :
0 Non-existent
Tidak ada dukungan untuk mengatasi pertanyaan-pertanyaan dan isuisu pengguna. Proses manajemen insiden masih benar-benar
berkekurangan. Organisasi tidak menyadari bahwa ada hal yang harus
ditangani.
55
1 Initial/Ad Hoc
Manajemen mengakui bahwa proses yang didukung oleh alat dan
personil itu diperlukan untuk merespon permintaan pengguna dan
mengelola resolusi insiden. Ada, tapi bagaimanapun belum ada proses
standar, dan hanya dukungan reaktif yang disediakan. Manajemen
tidak memonitor query pengguna, kejadian atau tren. Tidak ada proses
eskalasi untuk memastikan bahwa permasalahan dipecahkan.
2 Repeatable but Intuitive
Ada kesadaran organisasi tentang perlunya fungsi meja pelayanan dan
proses manajemen insiden. Bantuan tersedia secara informal melalui
jaringan individu berpengetahuan. Orang-orang ini memiliki beberapa
tool yang tersedia untuk membantu dalam resolusi insiden. Tidak ada
pelatihan formal dan komunikasi prosedur standar, dan tanggung
jawab yang tersisa untuk individu.
3 Defined
Kebutuhan fungsi meja pelayanan dan proses manajemen insiden
diakui
dan
diterima.
Prosedur
telah
distandardisasi
dan
didokumentasikan, dan pelatihan informal terjadi. Akan tetapi,
diserahkan kepada individu untuk mendapatkan pelatihan dan
mengikuti standar. Pertanyaan yang sering diajukan (FAQ) dan
panduan
pengguna
dikembangkan,
tetapi
individu
harus
menemukannya dan tidak mungkin mengikutinya. Pertanyaan dan
insiden dilacak secara manual dan dipantau secara individu, tetapi
sistem pelaporan formal tidak ada. Respon tepat waktu atas
permintaan dan insiden tidak diukur dan insiden mungkin menjadi
tidak terselesaikan. Pengguna telah menerima komunikasi yang jelas
di mana dan bagaimana cara melaporkan masalah dan insiden.
56
4 Managed and Measurable
Ada pemahaman penuh dari manfaat proses manajemen insiden di
semua tingkat organisasi, dan fungsi meja layanan didirikan pada unit
organisasi yang sesuai. Perkakas dan teknik yang otomatis dengan
basis pengetahuan yang terpusat. Anggota staf meja pelayanan erat
berinteraksi dengan anggota staf manajemen masalah. Tanggung
jawab jelas, dan efektivitas dipantau. Prosedur untuk berkomunikasi,
meningkat dan insiden memecahkan ditetapkan dan dikomunikasikan.
Personil meja layanan telah dilatih, dan proses ditingkatkan melalui
penggunaan software bertugas spesifik. Manajemen mengembangkan
metrik untuk kinerja meja layanan.
5 Optimised
Proses manajemen insiden dan fungsi meja layanan yang mapan dan
terorganisasi dengan baik dan berorientasi pada layanan pelanggan
dengan menjadi pengetahuan, berfokus pada pelanggan dan membantu.
Metrik secara sistematis diukur dan dilaporkan. Lebih lanjut lagi,
FAQ yang komprehensif merupakan bagian yang tidak terpisahkan
dari basis pengetahuan. Alat berada di tempat untuk memungkinkan
pengguna untuk mendiagnosa sendiri dan menyelesaikan insiden.
Nasihat bersifat konsisten, dan insiden diselesaikan dengan cepat
dalam proses eskalasi terstruktur. Manajemen menggunakan alat bantu
terpadu untuk statistik kinerja proses manajemen insiden dan fungsi
meja layanan. Proses telah disempurnakan ke tingkat praktek terbaik
industri, berdasarkan hasil analisa indikator kinerja, perbaikan terusmenerus dan tolok ukur dengan organisasi lain.
2.7.7. DS10 Manage Problems
Manajemen dari proses mengelola masalah yang memenuhi
persyaratan bisnis IT untuk memastikan kepuasan pengguna akhir
dengan pemberian layanan dan tingkat layanan, serta mengurangi
57
solusi dan pengiriman layanan yang cacat dan mencegah pengulangan
pekerjaan dengan nilai tingkat kematangan dari 0 sampai dengan 5,
seperti yang sudah ditetapkan oleh ITGI, yang didefinisikan sebagai
berikut :
0 Non-existent
Tidak ada kesadaran akan perlunya untuk mengelola masalah, karena
tidak ada diferensiasi masalah dan insiden. Oleh karena itu, tidak ada
usaha yang dilakukan untuk mengidentifikasi akar penyebab insiden.
1 Initial/Ad Hoc
Personil mengenali kebutuhan untuk mengelola dan menyelesaikan
penyebab masalah. Personil kunci berpengetahuan memberikan
beberapa bantuan terhadap masalah yang berkaitan dengan bidang
keahlian mereka, tetapi tanggung jawab atas manajemen masalah
belum ditugaskan. Informasi tidak dibagi, sehingga menciptakan
masalah tambahan dan hilangnya waktu produktif saat mencari
jawaban.
2 Repeatable but Intuitive
Ada kesadaran yang luas dari kebutuhan dan manfaat dari menangani
masalah-masalah yang berhubungan dengan IT baik dalam unit bisnis
maupun fungsi pelayanan informasi. Proses resolusi berkembang ke
titik di mana individu-individu kunci yang bertanggung jawab untuk
mengidentifikasi dan menyelesaikan masalah. Informasi dibagi di
antara staf dengan cara yang informal dan reaktif. Tingkat layanan
kepada masyarakat pengguna bervariasi dan terhambat karena
kekurangan, pengetahuan terstruktur tersedia bagi manajer masalah.
3 Defined
Kebutuhan sistem manajemen masalah terpadu yang efektif diterima
dan dibuktikan dengan dukungan manajemen, dan anggaran untuk staf
58
dan pelatihan yang tersedia. Masalah resolusi dan eskalasi proses telah
distandardisasi. Pencatatan dan pelacakan masalah dan resolusinya
terfragmentasi dalam tim respon, dengan menggunakan alat yang
tersedia tanpa sentralisasi. Penyimpangan dari norma-norma atau
standar mungkin tidak terdeteksi. Informasi dibagi di antara staf
secara proaktif dan formal. Manajemen meninjau insiden dan analisis
identifikasi masalah dan resolusi terbatas dan informal.
4 Managed and Measurable
Proses masalah pengelolaan dipahami di semua tingkatan dalam
organisasi. Tanggung jawab dan kepemilikan sudah jelas dan mapan.
Metode dan prosedur telah didokumentasikan, dikomunikasikan dan
diukur untuk efektivitas. Mayoritas masalah telah diidentifikasi,
dicatat dan dilaporkan, dan resolusi dimulai. Pengetahuan dan
keahlian dibudidayakan, dipelihara dan dikembangkan ke tingkat lebih
tinggi, karena fungsi ini dipandang sebagai aset dan kontributor utama
terhadap pencapaian tujuan IT dan peningkatan layanan IT. Masalah
manajemen juga terintegrasi dengan proses yang saling terkait, seperti
kejadian, perubahan, ketersediaan dan manajemen konfigurasi, dan
membantu pelanggan dalam mengelola data, fasilitas dan operasi.
Tujuan dan metrik telah disepakati untuk proses manajemen masalah.
5 Optimised
Proses manajemen masalah telah berevolusi menjadi salah satu yang
proaktif dan melihat ke depan, memberikan kontribusi bagi tujuan IT.
Masalah telah diantisipasi dan dicegah. Pola Pengetahuan tentang
masalah masa lalu dan masa depan dipelihara melalui kontak reguler
dengan vendor dan ahli. Pencatatan, pelaporan dan analisis masalah
dan resolusi telah otomatis dan terintegrasi dengan manajemen
konfigurasi data. Tujuan diukur secara konsisten. Kebanyakan sistem
telah dilengkapi dengan deteksi otomatis dan mekanisme peringatan,
yang terus dilacak dan dievaluasi. Proses manajemen masalah
59
dianalisis untuk perbaikan yang berkesinambungan berdasarkan
analisis dari tindakan dan dilaporkan kepada para stakeholder.
2.7.8. DS11 Manage Data
Manajemen dari proses mengelola data yang memenuhi persyaratan
bisnis untuk IT yang mengoptimalkan penggunaan informasi dan
memastikan informasi selalu tersedia sebagai kewajiban nilai tingkat
kematangan dari 0 sampai dengan 5, seperti yang sudah ditetapkan
oleh ITGI, yang didefinisikan sebagai berikut :
0 Non-existent
Data tidak diakui sebagai sumber daya dan aset perusahaan. Tidak ada
kepemilikan data yang ditempatkan atau akuntabilitas individu untuk
pengelolaan data. Kualitas dan keamanan data sangat sedikit atau
bahkan tidak ada sama sekali.
1 Initial/Ad Hoc
Organisasi mengakui kebutuhan akan pengelolaan data yang efektif.
Ada sebuah pendekatan ad hoc untuk men-spesifikasi persyaratan
keamanan untuk pengelolaan data, tetapi tidak ada prosedur
komunikasi formal yang ditempatkan. Tidak ada pelatihan khusus
tentang pengelolaan data yang berlangsung. Tanggung jawab untuk
manajemen data tidak jelas. Prosedur back up / restorasi dan
pengaturan pembuangan sudah ditempatkan.
2 Repeatable but Intuitive
Kesadaran akan perlunya pengelolaan data yang efektif ada di seluruh
organisasi. Kepemilikan data pada tingkat tinggi mulai terjadi.
Persyaratan keamanan untuk pengelolaan data didokumentasikan oleh
individu kunci. Beberapa pemantauan dalam IT dilakukan pada
kegiatan utama manajemen data (misalnya, back up, restorasi,
60
pembuangan). Tanggung jawab untuk pengelolaan data secara
informal ditugaskan untuk anggota staf IT utama.
3 Defined
Kebutuhan untuk pengelolaan data dalam IT dan seluruh organisasi
dipahami dan diterima. Tanggung jawab untuk pengelolaan data
dibentuk. Kepemilikan data diberikan kepada pihak yang bertanggung
jawab yang mengendalikan integritas dan keamanan. Prosedur
manajemen data diformalkan dalam IT, dan beberapa alat untuk back
up / restorasi dan pembuangan peralatan telah digunakan. Beberapa
pemantauan atas pengelolaan data telah ditempatkan. Metrik kinerja
dasar telah didefinisikan. Pelatihan bagi anggota staf manajemen data
mulai diadakan.
4 Managed and Measurable
Kebutuhan untuk pengelolaan data dipahami, dan tindakan yang
diperlukan diterima
dalam organisasi. Tanggung
jawab atas
kepemilikan dan manajemen data jelas terdefinisi, ditugaskan, dan
dikomunikasikan dalam organisasi. Prosedur sudah diformalkan dan
dikenal luas, dan pengetahuan dibagikan. Penggunaan alat-alat saat ini
muncul. Tujuan dan indikator kinerja disetujui bersama dengan
pelanggan dan dipantau melalui proses yang jelas. Pelatihan formal
bagi anggota staf manajemen data sudah ditempatkan.
5 Optimised
Kebutuhan untuk manajemen dan pemahaman data dari semua
tindakan yang diperlukan telah dipahami dan diterima dalam
organisasi. Kebutuhan masa depan dan persyaratan dieksplorasi secara
proaktif. Tanggung jawab untuk kepemilikan dan manajemen data
secara jelas ditetapkan, dikenal secara luas di dalam organisasi dan
diperbarui secara tepat waktu. Prosedur diformalkan dan dikenal luas,
dan berbagi pengetahuan adalah praktik standar. Alat-alat canggih
61
digunakan dengan otomatisasi maksimal dari manajemen data. Tujuan
dan indikator kinerja yang disepakati dengan pelanggan, terkait
dengan tujuan bisnis dan secara konsisten dimonitor menggunakan
proses yang didefinisikan dengan baik. Peluang untuk perbaikan terusmenerus dieksplorasi. Pelatihan bagi anggota staf manajemen data
didirikan.
2.7.9. DS12 Manage the Physical Environment
Manajemen dari proses mengelola lingkungan fisik yang memenuhi
persyaratan bisnis IT untuk melindungi aset komputer dan data bisnis
serta meminimalkan risiko gangguan usaha dengan nilai tingkat
kematangan dari 0 sampai dengan 5, seperti yang sudah ditetapkan
oleh ITGI, yang didefinisikan sebagai berikut :
0 Non-existent
Tidak ada kesadaran akan kebutuhan untuk melindungi fasilitas atau
investasi sumber daya komputasi. Faktor-faktor lingkungan, termasuk
perlindungan kebakaran, debu, kekuasaan, dan panas dan kelembaban
yang berlebihan, tidak dimonitor atau dikontrol.
1 Initial/Ad Hoc
untuk menyediakan lingkungan fisik yang sesuai yang melindungi
sumber daya dan personel terhadap bahaya buatan manusia dan alam.
Manajemen sarana dan peralatan sangat tergantung pada keterampilan
dan kemampuan individu kunci. Personil dapat bergerak di dalam
fasilitas tanpa pembatasan. Manajemen tidak memonitor pengendalian
fasilitas lingkungan atau pergerakan personil.
2 Repeatable but Intuitive
Kontrol lingkungan diimplementasikan dan dimonitor oleh personil
operasi. Keamanan fisik adalah sebuah proses informal, didorong oleh
sekelompok kecil karyawan yang memiliki tingkat perhatian yang
62
tingg tentang mengamankan fasilitas fisik. Prosedur perawatan
fasilitas belum terdokumentasi dengan baik dan bergantung pada
praktek-praktek yang baik dari beberapa individu. Tujuan keamanan
fisik tidak didasarkan pada standar formal, dan manajemen tidak
menjamin bahwa tujuan keamanan tercapai.
3 Defined
Kebutuhan untuk menjaga lingkungan komputasi yang terkendali
telah dipahami dan diterima dalam organisasi. Kontrol lingkungan,
pemeliharaan preventif dan keamanan fisik adalah poin anggaran yang
telah disetujui dan dilacak oleh manajemen. Pembatasan akses
diterapkan, hanya personil yang disetujui saja yang diperbolehkan
mengakses fasilitas komputasi. Pengunjung dicatat dan dikawal,
tergantung pada individu. Fasilitas fisik yang kurang dikenal dan tidak
mudah diidentifikasi. Orang yang berwenang memonitor kelengkapan
dengan peraturan yang sehat dan aman. Risiko telah diasuransikan
dengan sedikit usaha untuk mengoptimalkan biaya asuransi.
4 Managed and Measurable
Kebutuhan
untuk
menjaga
lingkungan
komputasi
terkendali
sepenuhnya telah dipahami, seperti terlihat dalam struktur organisasi
dan alokasi anggaran. Lingkungan dan persyaratan keamanan fisik
didokumentasikan, dan akses secara ketat dikontrol dan dimonitor.
Tanggung jawab dan kepemilikan ditetapkan dan dikomunikasikan.
Fasilitas anggota staf sudah sangat terlatih dalam situasi darurat, serta
dalam praktik kesehatan dan keselamatan. Mekanisme pengendalian
yang standar ditempatkan untuk membatasi akses ke fasilitas dan
mengatasi faktor lingkungan dan keselamatan. Manajemen memantau
efektivitas pengendalian dan pemenuhan dengan standar yang
ditetapkan. Manajemen menetapkan tujuan dan metrik untuk
mengukur pengelolaan lingkungan komputasi. Pemulihan sumber
daya komputasi dimasukkan ke dalam proses manajemen risiko
63
organisasi.
Informasi
yang
terintegrasi
digunakan
untuk
mengoptimalkan cakupan asuransi dan biaya terkait.
5 Optimised
Fasilitas yang dibutuhkan untuk mendukung lingkungan komputasi
organisasi telah disepakati berikut dengan rencana jangka panjangnya.
Standar yang ditetapkan untuk semua fasilitas, meliputi pemilihan
lokasi, konstruksi, menjaga, personil keamanan, sistem mekanikal dan
elektrikal, dan perlindungan terhadap faktor lingkungan (misalnya,
kebakaran,
pencahayaan,
banjir).
Semua
fasilitas
tersebut
diinventarisasi dan dikelompokkan sesuai dengan proses manajemen
risiko organisai yang sedang berlangsung. Akses ketat atas dasar
pekerjaan-kebutuhan dan dipantau terus menerus, dan semua
pengunjung yang dikawal setiap saat. Lingkungan dimonitor dan
dikontrol melalui peralatan khusus, dan ruang peralatan telah menjadi
'tak berawak'. Tujuan secara konsisten diukur dan dievaluasi. Program
pemeliharaan preventif menegakkan ketaatan terhadap jadwal, dan tes
rutin diterapkan untuk peralatan yang sensitif. Strategi Fasilitas dan
standar yang sesuai dengan target ketersediaan layanan IT dan
terintegrasi dengan rencana kelangsungan bisnis dan manajemen krisis.
Manajemen meninjau dan mengoptimalkan fasilitas menggunakan
tujuan dan metrik secara terus menerus, memanfaatkan peluang untuk
meningkatkan kontribusi bisnis.
2.7.10. D13 Manage Operations
Manajemen
dari
proses
mengelola
operasi
yang
memenuhi
persyaratan bisnis untuk IT dalam menjaga integritas data dan
memastikan bahwa infrastruktur IT dapat mengatasi dan memperbaiki
kesalahan dan kegagalan dengan nilai tingkat kematangan dari 0
sampai dengan 5, seperti yang sudah ditetapkan oleh ITGI, yang
didefinisikan sebagai berikut :
64
0 Non-existent
Organisasi tidak mencurahkan waktu dan sumber daya untuk
pembentukan dukungan dasar IT dan kegiatan operasional.
1 Initial/Ad Hoc
Organisasi mengakui perlunya penataan fungsi dukungan IT.
Beberapa prosedur standar ditetapkan, dan kegiatan operasi bersifat
reaktif di alam. Mayoritas proses operasional secara informal
dijadwalkan, dan permintaan pengolahan diterima tanpa validasi
sebelumnya. Komputer, sistem dan aplikasi yang mendukung proses
bisnis sering terganggu, tertunda dan tidak tersedia. Waktu menjadi
hilang, sementara karyawan menunggu untuk sumber daya. Output
media terkadang muncul di tempat tak terduga atau sama sekali tidak
ada.
2 Repeatable but Intuitive
Organisasi menyadari peran kunci bahwa kegiatan operasional IT
dimainkan dalam menyediakan fungsi pendukung IT. Anggaran untuk
alat-alat yang dialokasikan berdasarkan kasus per kasus. IT
mendukung operasi yang informal dan intuitif. Ada ketergantungan
yang tinggi pada keterampilan dan kemampuan individu. Instruksi
meliputi apa yang harus dilakukan, kapan dan dalam urutan apa belum
didokumentasikan. Beberapa pelatihan operator ada, dan ada beberapa
standar operasi formal.
3 Defined
Kebutuhan manajemen operasi komputer dipahami dan diterima
dalam organisasi. Sumber daya yang dialokasikan dan beberapa
pelatihan on-the-job terjadi. Fungsi yang berulang secara resmi
ditetapkan, distandarkan, didokumentasikan dan dikomunikasikan.
Peristiwa dan hasil tugas selesai dicatat, dengan pelaporan terbatas
pada manajemen. Penggunaan penjadwalan otomatis dan alat-alat lain
65
diperkenalkan
untuk
membatasi
intervensi
operator.
Kontrol
diperkenalkan untuk penempatan pekerjaan baru dalam operasi.
Sebuah kebijakan formal dikembangkan untuk mengurangi jumlah
kejadian terjadwal. Pemeliharaan dan layanan perjanjian dengan
vendor masih bersifat informal.
4 Managed and Measurable
Operasi komputer dan tanggung jawab dukungan secara jelas
didefinisikan dan kepemilikan telah diberikan. Operasi didukung
melalui anggaran sumber daya untuk pengeluaran modal dan sumber
daya manusia. Pelatihan bersifat formal dan berkelanjutan. Jadwal dan
tugas-tugas didokumentasikan dan dikomunikasikan, baik secara
internal ke fungsi IT maupun kepada pelanggan bisnis. Hal ini
memungkinkan untuk melakukan pengukuran dan pemonitoran
kegiatan sehari-hari dengan perjanjian kinerja standar dan tingkat
pelayanan yang ditetapkan. Setiap penyimpangan dari norma-norma
dengan cepat ditangani dan diperbaiki. Manajemen memantau
penggunaan sumber daya komputasi dan penyelesaian pekerjaan atau
tugas yang diberikan. Upaya yang terus menerus ada untuk
meningkatkan tingkat otomatisasi proses sebagai alat perbaikan terusmenerus. Pemeliharaan formal dan perjanjian layanan ditetapkan
bersama dengan vendor. Ada kesejajaran penuh antara masalah,
kapasitas dan ketersediaan proses manajemen, didukung oleh analisis
penyebab kesalahan dan kegagalan.
5 Optimised
Operasi dukungan IT telah efektif, efisien dan cukup fleksibel untuk
memenuhi kebutuhan tingkat layanan dengan minimal produktivitas
yang
hilang.
distandardisasikan
Proses
dan
manajemen
operasional
didokumentasikan
dalam
IT
telah
suatu
basis
pengetahuan dan mengalami perbaikan berkelanjutan. Otomatisasi
sistem pendukung proses beroperasi secara mulus dan memberikan
66
kontribusi untuk lingkungan yang stabil. Semua masalah dan
kegagalan dianalisis untuk mengidentifikasi akar permasalahan.
Pertemuan rutin dengan manajemen perubahan menjamin tepat
waktunya inklusi perubahan jadwal produksi. Dalam kerjasama
dengan vendor, peralatan dianalisis usianya dan kerusakannya yang
ada, dan pemeliharaan preventif terutama dilakukan di alam.
2.8.
Sejarah Industri Jalan Tol Di Indonesia
Industri jalan tol di Indonesia boleh dikatakan lahir secara “tidak sengaja”,
ketika pemerintah memutuskan untuk menjadikan jalan bebas hambatan Jagorawi
menjadi jalan tol. Jagorawi pertama kali dioperasikan pada tahun 1978 oleh Jasa
Marga yang dibentuk sebagai perusahaan perseroan yang khusus bergerak
dibidang penyelenggaraan jalan tol.
Sampai dengan tahun 1987 seluruh jalan tol dibangun oleh Jasa Marga
dengan dibiayai oleh pinjaman G to G dan dana obligasi Jasa Marga. Pada
awalnya tarif tol hanya ditentukan berdasarkan perkiraan semata tanpa
perhitungan pengembalian investasi yang sekarang ini lazim digunakan. Jasa
Marga tidak memperoleh masa konsesi, karena berdasar UU Jalan (no.13/1980)
Jasa Marga adalah satu-satunya penyelenggara jalan tol bagi pemerintah.
Namun demikian, menurut UU Jalan (no. 38/2004)
wewenang
penyelenggaraan jalan tol berada pada Pemerintah yang meliputi pengaturan,
pembinaan, pengusahaan dan pengawasan jalan tol.
Sebagian wewenang
pemerintah tersebut dilaksanakan oleh BPJT (Badan Pengatur Jalan Tol). BPJT,
yang dibentuk oleh menteri dan berada dibawah serta bertanggung jawab kepada
menteri. Keanggotaan BPJT terdiri atas unsur pemerintah, pemangku kepentingan
dan unsur masyarakat.
Tugas BPJT adalah melaksanakan sebagian penyelenggaraan jalan tol,
yang meliputi:
a. Pengaturan jalan tol mencakup pemberian rekomendasi tarif awal dan
penyesuaiannya kepada Menteri, serta pengambilalihan jalan tol pada
akhir masa konsesi dan pemberian rekomendasi pengoperasian
selanjutnya;
67
b. Pengusahaan jalan tol mencakup persiapan pengusahaan jalan tol,
pengadaan investasi, dan pemberian fasilitas pembebasan tanah;
c. Pengawasan jalan tol mencakup pemantauan dan evaluasi pengusahaan
jalan tol dan pengawasan terhadap pelayanan jalan tol.
Untuk mempercepat perwujudan jaringan jalan tol, maka menurut UU No.
38 Tahun 2004, diselenggarakan mekanisme pengusahaan jalan tol yaitu
Pengusahaan jalan tol yang dilakukan oleh badan usaha milik negara dan/atau
badan usaha milik daerah dan/atau badan usaha milik swasta yang meliputi
kegiatan pendanaan, perencanaan teknis, pelaksanaan konstruksi, pengoperasian,
dan/atau pemeliharaan. Wewenang mengatur pengusahaan jalan tol dilaksanakan
oleh BPJT.
Dalam keadaan tertentu yang menyebabkan pengembangan jaringan jalan
tol tidak dapat diwujudkan oleh badan usaha Pemerintah dapat mengambil
langkah sesuai dengan kewenangannya. Konsesi pengusahaan jalan tol diberikan
dalam jangka waktu tertentu untuk memenuhi pengembalian dana investasi dan
keuntungan yang wajar bagi usaha jalan tol. Dalam hal konsesi berakhir,
Pemerintah menetapkan status jalan tol yang dimaksud sesuai dengan
kewenangannya.
Dalam keadaan tertentu yang menyebabkan pengusahaan jalan tol tidak
dapat diselesaikan berdasarkan ketentuan yang tercantum dalam perjanjian
pengusahaan jalan tol, Pemerintah dapat melakukan langkah penyelesaian untuk
keberlangsungan pengusahaan jalan tol. Pengusahaan jalan tol yang diberikan
oleh Pemerintah kepada badan usaha dilakukan melalui pelelangan secara
transparan dan terbuka. Pelelangan dapat meliputi sebagian atau seluruh lingkup
pengusahaan jalan tol. Badan usaha yang mendapatkan hak pengusahaan jalan tol
berdasarkan hasil pelelangan mengadakan perjanjian pengusahaan jalan tol
dengan Pemerintah.
2.9.
Profil PT. JKL
PT. JKL adalah salah satu badan usaha milik swasta atau dikenal dengan
istilah Badan Usaha Jalan Tol (BUJT) yang mendapatkan hak untuk pengusahaan
jalan tol dari pemerintah melalui BPJT. PT. JKL mulai beroperasi pada tahun
68
2007, dan mengantongi enam hak pengusahaan jalan tol di Indonesia. Pada tahun
2009 telah selesai dilakukan pendanaan, perencanaan teknis dan pelaksanaan
konstruksi untuk salah satu dari enam hak pengusahaan jalan tol tersebut.
(Hidayat HM 4 Mei 2011, wawancara)
Saat ini telah dilakukan pengoperasian dan pemeliharaan atas salah satu
dari ruas jalan tol di perbatasan Jawa Barat – Jawa Tengah yang dilaksanakan
oleh anak perusahaan PT. JKL yaitu PT. OPS. PT. JKL merencanakan pada awal
tahun 2013 dapat dioperasikan lagi dua ruas jalan tol yang saat ini sedang
dilakukan pembebasan tanah. Diharapkan pada pertengahan tahun ini akan segera
dibangun satu ruas jalan tol di jalur Trans Jawa (Jawa Tengah) dan satu ruas jalan
tol lagi di daerah Jawa Barat (Hidayat HM 4 Mei 2011, wawancara).
Pada akhir 2015 PT. JKL menargetkan telah selesai dua ruas jalan tol lagi
di jalur Trans Jawa sebagai kelanjutan dari pembangunan ruas jalan tol yang telah
ditargetkan selesai di awal tahun 2013 serta satu ruas jalan tol lagi di daerah Jawa
Timur. Sehingga pada tahun 2015, total ruas jalan tol yang doperasikan dan
dipelihara oleh PT. JKL berjumlah enam ruas jalan tol atau sepanajng total sekitar
300 kilometer, sesuai dengan pengusahaan jalan tol yang telah disepakati dengan
pemerintah melalui BPJT (Hidayat HM 4 Mei 2011, wawancara).
PT. JKL memiliki visi menjadi pengembang infrastruktur jalan tol terpadu
yang pertama dan memiliki misi untuk membangun jalan tol terbaik melalui
penerapan teknologi yang inovatif, serta memadukannya dengan pengembangan
wilayah di sekitarnya sehingga terjadi proses sinergi yang maksimal (Hidayat HM
4 Mei 2011, wawancara). Pada saat pengoperasian dan pemeliharaan masingmasing ruas jalan tol telah berjalan selama 35 tahun, maka PT. JKL harus
menyerahkan asset dan pengelolaan kepada pemerintah, atau hal ini lebih dikenal
dengan istilah BOT (Build, Operate, Transfer) (Hidayat HM 4 Mei 2011,
wawancara).
2.10. Integrated Toll Collection System
Dalam operasionalnya, PT. JKL telah menggunakan computerized system
yang digunakan dalam proses transaksi pembayaran di gerbang tol yang kemudian
dikenal dengan istilah ITCS (Integrated Toll Collection System). ITCS ini terdiri
69
dari front end dan back end yang masing-masing memiliki tugas serta fungsi yang
berbeda (Gambar 4).
Front end terdiri dari beberapa hardware dan software yang berfungsi
sebagai alat input data serta verifikasi yang terdiri dari proses :
a.
Pencatatan transaksi yang dilakukan oleh petugas pengumpul tol yang
bertugas di Gardu Tol, yang diproses di sebuah TCT (Toll Collector
Terminal)
b.
TCT terhubung ke LCS (Lane Computer System) yang bertindak
sebagai “otak” dari proses transaksi.
c.
LCS berfungsi untuk memproses transaksi dan memberikan perintah
serta menerima data dari peripherals lain seperti OB (Optical Beam),
ALB (Automatic Line Barrier) kamera dan AVC (Automatic Vehicle
Classification).
Gambar 4 Integrated Toll Collection System.
Back end terdiri dari beberapa hardware dan software yang berfungsi
sebagai alat untuk pengawasan dan pelaporan yang terdiri dari proses :
a.
Pelaporan yang ditangani oleh PCS (Plaza Computer System),
70
b.
Pengawasan transaksi dan pengawasan peralatan dilakukan di sebuah
komputer yang disebut RIMS (Realtime Information Monitoring
System),
c.
Pelaporan pertanggungjawaban transaksi dan catatan kejadian selama
petugas pengumpul tol bertugas di Gardu Tol dilakukan di sebuah
komputer yang disebut STACS (Staf Computer System).
Pada prinsipnya proses sistem transaksi pembayaran tol harus didasarkan
pada hal (Putro AA 4 Mei 2011, wawancara)
a.
Memberi pelayanan yang cepat, tepat, aman dan nyaman pada
pengguna tol
b.
Memberi jaminan kepada pengguna jalan dan Badan Usaha Jalan Tol
bahwa transaksi sudah berjalan sesuai dengan tarif yang ditentukan;
c.
Dapat diintegrasikan dengan sistem yang sudah ada atau sistem yang
akan dikembangkan;
d.
Senantiasa memperhatikan pengembangan teknologi, manajemen
sumber daya manusia, yang pada akhirnya memberikan pelayanan
yang maksimal pada pengguna tol dan memberikan efisiensi di segala
bidang bagi Badan Usaha Jalan Tol.
Beberapa keuntungan dari penerapan sistem transaksi pembayaran tol ini
adalah :
a.
Mempercepat waktu transaksi dan meningkatkan kapasitas pelayanan
b.
Meningkatkan tingkat akurasi transaksi dan menghindari kesalahan
manusia
c.
Meningkatkan efisiensi jumlah SDM untuk pelayanan di gerbang tol
2.11. Pengadaan dan Pemeliharaan Integrated Toll Collection System
Dalam pengadaan Integrated Toll Collection System, PT. JKL telah
bekerjasama dengan joint operation PT. MK & PT. HT yang terikat dalam suatu
Kontrak
Perjanjian
Kerjasama
Pengadaan
dan
Pemeliharaan
Peralatan
Pengumpulan Tol (ITCS). PT. JKL dan joint operation PT. MK & PT. HT setuju
dan sepakat bahwa masa kontrak tersebut adalah selama lima tahun terhitung
sejak Berita Acara Serah Terima Pemasangan. Selama masa kontrak joint
71
operation PT. MK & PT. HT wajib melaksanakan pemeliharaan dan perawatan
ITCS sesuai dengan standar pemeliharaan dan penggantian seperti telah
disepakati.
PT. JKL dan joint operation PT. MK & PT. HT telah sepakat tidak
memutuskan kontrak perjanjian tersebut sebelum masa kontrak berakhir, kecuali
disepakati oleh keduanya dengan menyelesaikan terlebih dahulu segala hal yang
menjadi hak dan kewajiban kedua belah pihak.
PT. JKL dalam ketentuan tersebut telah menyatakan kesanggupan untuk
melakukan pembelian ITCS secara leasing dari joint operation PT. MK & PT.
HT. Di dalam perjanjian antara lain disebutkan bahwa yang menjadi kewajiban
PT. JKL adalah :
a. Berkewajiban melaksanakan pembayaran leasing
b. Berkewajiban menjaga keamanan dan kondisi peralatan
c. Menggunakan peralatan ITCS sesuai dengan standar pemakaian yang
ditetapkan oleh joint operation PT. MK & PT. HT
d. Dilarang
menjual,
menggadaikan,
menghibahkan,
menyewakan
kembali atau melakukan pengalihan kepemilikan dan penguasaan
ITCS.
Adapun kewajiban joint operation PT. MK & PT. HT di dalam perjanjian
disebutkan bahwa :
a. Joint operation PT. MK & PT. HT menyediakan ITCS
b. Memberikan garansi/jaminan perbaikan atas peralatan yang rusak,
termasuk suku cadang selama jangka waktu perjanjian
c. Memberikan
pelayanan
jasa
konsultasi
dan
supervisi
yang
berhubungan dengan ITCS dan operasional ITCS
d. Menyediakan tenaga pemelihara selama 24 jam bilamana terjadi
gangguan operasional ITCS serta menyediakan unit pengganti bila
kerusakan ITCS melebihi batas waktu perbaikan yang disepakati
e. Menjamin keakurasian output ITCS termasuk keamanan data transaksi
f. Memberikan saran, usulan, masukan dalam menentukan jenis peralatan
pendukung ITCS yang baik sesuai dengan kebutuhan
g. Melakukan pengawasan secara berkala terhadap ITCS
72
2.12. Penelitan Sebelumnya
Penulis telah melakukan telaah terhadap penelitian yang berkaitan dengan
tata kelola IT (IT Governance), dimana penelitian tersebut tidak seluruhnya
menggunakan framework
COBIT. Hal ini dimaksudkan untuk menunjukkan
pentingnya IT Governance dalam sebuah organisasi.
Castillo dan Stanojevic (2011) dalam penelitian thesisnya yang berjudul
“An Assessment Of The It Governance Maturity At SL” meneliti mengenai
organisasi IT dalam sudut pandang IT Governance di AB Storstockholms
Lokaltrafik (SL), sebuah perusahaan yang dimiliki oleh pemerintah Stockholm,
yang bergerak di bidang transportasi umum. Penelitian ini bertujuan untuk
mengidentifikasi masalah dan memberikan saran yang terukur untuk sebuah
perbaikan. Setelah melakukan penelitian, diketahui bahwa tingkat kedewasaan
tata kelola IT di SL berada di 2.68 dari nilai yang diharapkan.
Hasil penelitian menunjukkan bahwa dokumentasi yang konkrit dengan
tanggungjawab yang telah didefinisikan secara baik di dalam organisasi SL telah
meningkatkan tingkat kematangan tata kelola IT. Sementara itu metrics yang
nyaris tidak lengkap dalam pemantauan bisnis secara kuat turut menurunkan
tingkat kematangan tata kelola IT. Hal ini ditunjukkan dengan tidak adanya proses
“ME2 – Monitor and Evaluate Internal Control” yang berkonsentrasi dalam
pengawasan internal organisasi IT. Di dalam penelitian dapat diketahui dengan
jelas bahwa bagaimana fungsi tata kelola IT di dalam organisasi SL. Penunjukan
seorang kepala tata kelola TI, pengembangan model tata kelola TI dan proses tata
kelola IT ditemukan sangat positif. Hal ini menunjukkan SL memiliki niat baik
membangun tata kelola IT yang baik.
Penelitian ini menunjukkan bahwa kemajuan yang signifikan telah dicapai
dalam tata kelola IT di SL, dimana SL mulai memperkenalkan tata kelola IT 3
tahun yang lalu. Namun demikian, tata kelola IT di SL masih memiliki potensi
besar untuk perbaikan. Namun diyakini bahwa jika SL terus bekerja pada tata
kelola pemerintahan IT, maka tata kelola IT SL akan terus meningkat. Hal ini
dapat dicapai dengan memberikan arahan yang jelas pada penggunaan prosedur,
prosedur berkomunikasi melalui pelatihan, membuat prosedur dengan terus
mengevaluasi prosedur tersebut serta terus meningkatkannya.
73
Abu-Musa (2009) dalam The International Journal of Digital Accounting
Research melakukan penelitian mengenai formalitas, audit, tanggung jawab dan
akuntabilitas pelaksanaan proses COBIT untuk tata kelola IT dalam berbagai
organisasi di Saudi Arabia. Penelitian dilakukan dengan membagikan 500
kuisioner ke organisasi-organisasi di saudia Arabia seperti perusahaan
manufakturing,
merchandising,
bank,
jasa,
gas
dan
perminyakan,
dan
pemerintahan di lima kota yaitu Al-Khoubar, Dammam, Dhahran, Jeddah and
Riyadh di Saudi Arabia. Kuisioner yang dikembalikan setelah dikurangi oleh
kegagalan dan atau kesalahan dalam pengisian kuisioner berjumlah 127 kuisioner.
Hasil penelitian mengungkapkan bahwa mayoritas responden melaporkan
bahwa departemen TI memiliki tanggung jawab untuk melaksanakan proses
COBIT dalam organisasi mereka. Namun, sebagian dari responden melaporkan
bahwa proses COBIT TI tidak diaudit atau dilakukan secara formal dalam
organisasi. Penelitian ini telah memberikan hasil empiris yang berharga tentang
pemanfaatan kerangka kerja COBIT untuk tata kelola IT dalam organisasi. Hasil
penelitian memungkinkan para manajer dan praktisi di lingkungan Saudi untuk
lebih memahami, mengevaluasi, menerapkan dan mengelola tata kelola IT untuk
kesuksesan bisnis mereka. Studi ini memberikan latar belakang dan informasi
yang berguna bagi manajemen senior, manajemen TI, akuntan, auditor, dan
akademisi untuk memahami tahap implementasi dan dampak dari COBIT pada
tata kelola IT dalam organisasi.
Radovanovic et al. (2010) dalam 6th International Scientific Conference di
Lithuania melakukan analisa mengenai konsep dan metodologi yang digunakan
dalam audit sistem informasi. Paper ini membahas bahwa Tata kelola IT dan audit
sistem informasi adalah suatu keharusan untuk mendukung suksesnya bisnis
perusahaan.Untuk meningkatkan pengelolaan IT sesuai dengan syarat dan
peraturan organisasi harus menggunakan kerangka kerja praktek yang terbaik.
Hasil penelitian yang dilakukan dengan menggunakan data Ernst&Young tahun
2009 menyatakan bahwa Cobit semakin populer untuk perencanaan kegiatan audit
IT dan telah diadopsi oleh 69% responden. Kerangka ini memberikan pendekatan
terstruktur untuk perencanaan dan fokus dalam tata kelola IT, audit IT pada bisnis
serta resiko teknologi dari organisasi.
74
Barve (2010) melakukan studi kasus nyata mengenai penggunaan Cobit
untuk manajemen resiko dalam organisasi bank. Bank yang dijadikan contoh
kasus dalam studi ini adalah sebuah bank konglomerat yang beroperasi di 50
negara dengan lebih dari 12 ribu karyawan. Team IT dari bank tersebut
dialokasikan di seluruh penjuru dunia untuk mendukung bisnis. Tata kelola
teknologi dirancang melalui kerangka kerja manajemen resiko yang efektif untuk
menjamin manajemen dan pengendaliannya. Kerangka tersebut didefinisikan
untuk mengetahui resiko dan manajemen pengendalian yang ada, seperti :
1. Proses yang belum membuahkan hasil untuk penilaian dan pengujian
kepatuhan.
2. Kurangnya pengendalian tunggal terhadap repository, menghasilkan
duplikasi kontrol.
3. Kurangnya proses yang jelas dan berulang untuk memenuhi penilaian
resiko. Kerangka baru diharapkan dapat membuat team teknologi
memahami resiko operasional yang signifikan dan dampaknya yang
lebih luas di dalam organisasi dengan :
a. Mengatasi area di mana resiko tidak dikontrol secara efektif.
b. Mengijinkan eksekutif teknologi untuk menunjukkan tanggung
jawab secara regulasi dengan efisien.
c. Menggunakan platform umum untuk membuat laporan semua
persyaratan peraturan di daerah dan negara lain.
d. Melaporkan resiko teknologi dan control kelemahan yang
mungkin berdampak kepada bisnis secara efektif.
e. Menerapkan proses standar di seluruh wilayah dan kantor
untuk memastikan konsistensi dan menghindari duplikasi
laporan.
Tim pemerintah memutuskan untuk menggunakan Cobit sebagai kerangka
kerja standar. Tim ini terdiri dari para profesional termasuk di bidang resiko,
keamanan IT dan ahli proses US Sarbanes-Oxley. Tim dibentuk untuk
mendefinisikan proses dan template. Tim mendapatkan tugas yang utama berada
di area :
a. Mendefinisi sebuah kerangka kerja yang akan digunakan.
75
b. Mengidentifikasi sebuah definisi standar dari “entity” yang melawan
resiko dan kontrol yang akan dievaluasi.
c. Mengidentifikasi proses manajemen resiko.
Jusuf (2009) dalam papernya mengungkapkan bahwa UNAS memiliki
pengelolaan TI dalam mendukung layanan akademik online dan dirasakan perlu
dilakukan perbaikan terhadap beberapa control process yang sangat penting
menurut UNAS yang terkait saat ini. Dalam pembuatan rekomendasi IT
Governance, rekomendasi dilakukan berdasarkan posisi maturity masing-masing
control process tersebut. Untuk menentukan maturity tersebut menggunakan
model maturity yang merupakan pemetaan yang menggambarkan kondisi control
process tersebut pada saat ini dan dilakukan perbandingan antara keadaan saat ini
dan hasil pemetaan. Dari model maturity tersebut didapatkan bahwa control
process melatih dan mendidik users berada pada posisi dapat diulang, mengelola
data berada pada posisi dapat diulang, me-monitor dan evaluasi kinerja TI berada
pada posisi inisialisasi.
Gomes dan Ribeiro (2009) dalam papernya yang berjudul The Main
Benefits Of Cobit In A High Public Educational Institution - A Case Study,
menggambarkan implementasi Cobit di sebuah Perguruan Tinggi di Portugal utara
yang memiliki beberapa sistem informasi yang tersebar dan mendukung aktifitas
Perguruan Tinggi tersebut. Oleh karena itu diperlukan suatu mekanisme yang
menjamin manajemen dan pengendalian dari sistem informasi khususunya untuk
tata kelola IT. Sebagai bagian dari penerapan Sistem Manajemen Mutu IPVC
dalam pelaksanaan sertifikasi standar ISO 9001, dilaksanakan pedoman COBIT
untuk
memastikan
sertifikasi.
Berikutnya
digunakan
Cobit
dalam
mengimplementasikan mekanisme untuk membangun tata kelola IT terutama
dalam mengelola dan mengendalikan IT dan sistem informasi. Gomes
menyimpulkan bahwa COBIT merupakan kerangka kerja yang cocok untuk
pelaksanaan sertifikasi standar ISO 9001 dan untuk tata kelola IT di Lembaga
Pendidikan Publik di bidang IS dan IT. Dengan implementasi ini lembaga kualitas
layanan telah meningkat secara signifikan, mengurangi jumlah anomali dan
memberikan mekanisme lebih efisien untuk mengelola dan mengontrol berbagai
76
sistem informasi mereka, mampu meningkatkan kualitas kehadiran, mengurangi
waktu eksekusi sekitar 25%.
Efisien dalam memantau dan mengendalikan
infrastruktur komponen teknologi, jumlah insiden diselesaikan oleh departemen
TI berkurang sekitar 30% dan mengurangi lebih dari 10% insiden yang berulang.