Add to collection(s) Add to saved
  1. Bisnis
  2. Manajemen

8 Bab II Tinjauan Pustaka II.1 Tata Kelola Teknologi Informasi

advertisement 
Bab II Tinjauan Pustaka
II.1 Tata Kelola Teknologi Informasi
Pengelolaan informasi dan teknologi informasi yang efektif merupakan hal yang
sangat penting untuk kelangsungan dan kesuksesan sebuah organisasi. Skala
kepentingan tersebut meningkat dalam lingkungan informasi dimana informasi
berpindah tanpa batasan waktu, jarak dan kecepatan. Bagi sebagian besar
organisasi, informasi dan teknologi yang mendukungnya mewakili aset organisasi
yang paling berharga [1].
Dalam menghadapi lingkungan bisnis yang sangat kompetitif dan berubah dengan
cepat, manajemen telah meningkatkan ekspektasi yang terkait dengan fungsi
delivery TI. Ekspektasi tersebut antara lain adalah peningkatan kualitas,
fungsionalitas dan kemudahan penggunaan, pengurangan waktu delivery, dan
peningkatan tingkat layanan secara kontinu yang dicapai dengan biaya serendah
mungkin. Sebagian besar organisasi menyadari manfaat potensial dari penerapan
teknologi. Pemahaman dan pengelolaan resiko yang terkait dengan penerapan
teknologi merupakan hal yang penting bagi keberhasilan organisasi [1,6].
Beberapa perubahan dalam TI dan lingkungan pengoperasiannya mengharuskan
kebutuhan untuk mengelola resiko yang terkait dengan TI. Ketergantungan pada
sistem TI dan informasi merupakan keharusan untuk mendukung proses bisnis
utama. Sebagai akibatnya lingkungan regulasi mempertegas kendali atas
informasi. Hal tersebut dipicu oleh meningkatnya pengetahuan mengenai bencana
sistem informasi dan penipuan elektronik. Pengelolaan resiko yang terkait dengan
TI saat ini dipahami sebagai bagian utama dari tata kelola perusahaan [6].
Tata kelola TI menjadi semakin penting dalam tata kelola perusahaan dan
didefinisikan sebagai sebuah struktur hubungan dan proses untuk mengarahkan
dan mengendalikan perusahaan untuk mencapai tujuan perusahaan melalui
penambahan nilai dengan tetap menyeimbangkan resiko dan manfaat dari TI dan
proses-prosesnya [1].
8
9
Tata kelola TI merupakan bagian integral dari keberhasilan tata kelola perusahaan
yang dicapai melalui peningkatan terukur secara efisien dan efektif dalam prosesproses di perusahaan. Tata kelola TI menyediakan struktur yang menghubungkan
proses-proses TI, sumberdaya TI dan informasi dengan strategi dan tujuan
perusahaan. Tata kelola TI mengintegrasikan dan membentuk pola perencanaan
dan pengorganisasian, perolehan dan penerapan, penyampaian dan dukungan,
serta pengawasan kinerja TI untuk memastikan bahwa informasi perusahaan dan
teknologi terkait mendukung tujuan bisnis [1,6].
Organisasi harus memenuhi kebutuhan kualitas, kelayakan dan keamanan
informasinya sebagaimana pada pemenuhan kebutuhan aset-aset lainnya.
Manajemen juga harus mengoptimalkan penggunaan sumberdaya yang tersedia,
seperti data, sistem aplikasi, teknologi, fasilitas dan manusia. Dalam melakukan
tanggung jawab tersebut dalam mencapai tujuannya, manajemen harus memahami
status dari sistem TI perusahaannya dan menentukan jenis kendali dan keamanan
yang harus digunakan [1].
Control Objectives for Information and related Technology (COBIT) membantu
memenuhi berbagai kebutuhan manajemen dengan menjembatani gap anata resiko
bisnis, kebutuhan kendali dan permasalahan teknis. COBIT memberikan panduan
melalui sebuah doman dan framework proses serta menyajikan aktivitas dalam
sebuah struktur logis dan terkelola. Kaidah penerapan COBIT dibentuk dari
konsensus para pakar yang akan membantu dalam mengoptimalkan investasi
informasi dan akan memberikan sebuah ukuran ketika terdapat sebuah kesalahan
[1].
Manajemen harus memastikan bahwa sebuah sistem kendali internal atau
framework dapat mendukung proses bisnis, memperjelas upaya kendali individu
dalam memenuhi kebutuhan informasi dan mempengaruhi sumberdaya TI.
Pengaruh pada sumberdaya TI dan kebutuhan bisnis terhadap efektivitas,
efisiensi, kerahasiaan, integritas, ketersediaan, kesesuaian dan kehandalan
informasi yang harus dipenuhi terdapat dalam framework COBIT [1].
10
Kendali yang mencakup kebijakan, struktur organisasi, prosedur dan pelaksanaan,
merupakan tanggung jawab manajemen. Manajemen harus memastikan bahwa
kendali dilaksanakan oleh seluruh pihak yang terlibat dalam pengelolaan,
penggunaan, perancangan, pengembangan, perawatan atau pengoperasian sistem
informasi. Sebuah tujuan kendali TI merupakan sebuah pernyataan hasil atau
tujuan yang diharapkan dapat dicapai dengan menerapkan prosedur kendali dalam
sebuah aktivitas TI [1].
II.1.1 Domain Tata Kelola TI
Beberapa area permasalahan yang menjadi fokus utama dalam tata kelola TI
antara lain adalah [11]:
1. Keselarasan strategis. Penerapan TI harus dapat mendukung pencapaian misi
perusahaan; strategi TI harus selaras dengan strategi bisnis perusahaan.
2. Pemberian nilai. Penerapan TI harus dapat memberikan nilai tambah bagi
pencapaian misi perusahaan.
3. Manajemen resiko. Penerapan TI harus disertai dengan pengidentifikasian
resiko-resiko TI sehingga dampaknya dapat ditangani.
4. Manajemen sumberdaya. Penerapan TI harus didukung dengan sumber daya
yang memadai dan penggunaan sumber daya yang optimal.
5. Pengukuran kinerja. Penerapan TI harus diukur dan dievaluasi secara berkala,
untuk memastikan bahwa kinerja dan kapasitas TI sesuai dengan kebutuhan
bisnis.
II.1.2 Standar Tata Kelola TI
Dalam menerapkan Tata Kelola TI, diperlukan sebuah model standar tata kelola
yang representatif dan menyeluruh, yang mencakup masalah perencanaan,
implementasi, operasional dan pengawasan terhadap seluruh proses TI.
Penggunaan standar Tata Kelola TI akan memberikan keuntungan-keuntungan
sebagai berikut [9] :
1. The Wheel Exists - Penggunaan standar yang sudah ada dan mapan (mature)
akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri suatu
11
kerangka kerja dengan mengandalkan pengalamannya sendiri yang tentunya
sangat terbatas.
2. Structured - Standar menyediakan suatu kerangka kerja yang terstruktur yang
mudah dipahami dan diikuti manajemen. Kerangka kerja yang terstruktur
dengan baik akan memberikan setiap orang pandangan yang relatif sama.
3. Best Practices - Standar telah dikembangkan dalam jangka waktu yang relatif
lama dan melibatkan ratusan orang dan organisasi diseluruh dunia.
Pengalaman yang direfleksikan dalam model-model tata kelola yang ada tidak
dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu.
4. Knowledge Sharing - Dengan mengikuti standar yang umum, manajemen akan
dapat berbagi ide dan pengalaman antar organisasi melalui user groups,
website, majalah, buku dan media informasi lainnya.
5. Auditable - Tanpa standar baku, akan sulit bagi auditor, terutama auditor dari
pihak ketiga untuk melakukan kontrol secara efektif. Dengan adanya standar,
maka baik manajemen maupun auditor memiliki dasar yang sama dalam
melakukan pengelolaan TI dan pengukurannya.
Saat ini telah banyak dikembangkan model standar Tata kelola TI. Setiap standar
memiliki fokus penekanan yang berbeda-beda serta kelebihan dan kekurangan
masing-masing. Beberapa model standar Tata Kelola TI yang banyak digunakan
pada saat ini, antara lain:
1. Committee of Sponsoring Organization of the Treadway Commission (COSO)
2. The International Organization for Standardization / The International
Electrotechnical Commission (ISO/IEC 17799)
3. The Information Technology Infrastructure Library (ITIL)
4. Control Objectives for Information and Related Technology (COBIT)
COBIT merupakan standar yang paling baik dalam hal teknis dan operasional
serta kelengkapan proses-proses TI di dalamnya dibandingkan standar-standar
lainnya.
II.2 Framework COBIT
Tujuan utama COBIT adalah memberikan kebijakan yang jelas dan praktek yang
baik dalam tata kelola TI dengan membantu manajemen senior memahami dan
12
mengelola resiko terkait tata kelola TI dengan cara memberikan kerangka kerja
tata kelola TI dan panduan detailed control objective (DCO) bagi pihak
manajemen, pemilik proses bisnis, user dan auditor.
COBIT mengintegrasikan sejumlah best practices TI dan menyediakan kerangka
kerja untuk tata kelola TI yang dapat membantu pemahaman dan pengelolaan
risiko serta memperoleh keuntungan terkait dengan TI. Dengan demikian
implementasi COBIT sebagai framework tata kelola TI akan dapat memberikan
keuntungan (11):
1. Penyelarasan yang lebih baik, berdasarkan pada fokus bisnis.
2. Sebuah pandangan, dapat dipahami oleh manajemen tentang hal yang
dilakukan TI.
3. Tanggungjawab dan kepemilikan yang jelas didasarkan pada orientasi proses.
4. Dapat diterima secara umum dengan pihak ketiga dan pembuat aturan
5. Berbagi pemahaman diantara pihak yang berkepentingan, didasarkan pada
penggunaan bahasa yang sama.
6. Pemenuhan kebutuhan atau sebagai pelengkap bagi Committee of Sponsoring
Organization of the Treadway Commission (COSO) untuk lingkungan kendali
TI.
Dalam memahami framework COBIT, perlu diketahui mengenai karakteristik
utama dimana framework COBIT dibuat, serta prinsip yang mendasarinya.
Adapun karakteristik utama framework COBIT adalah fokus pada bisnis
(business-focused), orientasi pada proses (process-oriented), berbasis kontrol
(controls-based) dan dikendalikan oleh pengukuran (measurement-driven),
sedangkan prinsip yang mendasarinya adalah [1] :
“Untuk menyediakan informasi yang diperlukan organisasi dalam mewujudkan
tujuannya, organisasi perlu mengelola dan mengendalikan sumberdaya TI
dengan menggunakan sekumpulan proses-proses yang terstruktur untuk
memberikan layanan informasi yang diperlukan”
Framework COBIT terdiri dari 3 level control objectives, dimulai dari level yang
paling bawah yaitu activities. Activities merupakan kegiatan rutin yang memiliki
konsep siklus hidup. Selanjutnya kumpulan activities dikelompokkan ke dalam
13
proses TI, kemudian proses-proses TI yang memiliki permasalahan yang sama
dikelompokkan ke dalam domain. Ketiga tingkatan kerangka kerja tersebut
ditunjukkan pada Gambar II.1 berikut ini.
Gambar II.1 Struktur Kerangka Kerja COBIT [4]
Secara keseluruhan konsep kerangka kerja COBIT digambarkan sebagai sebuah
kubus tiga dimensi yang terdiri dari: (1) Proses TI, (2) Kriteria Informasi, dan (3)
Sumber Daya TI. Kubus COBIT tersebut ditunjukkan pada Gambar II.2 berikut
ini.
Gambar II.2 Kubus COBIT [4]
II.2.1 Proses TI
Kerangka kerja COBIT mengidentifikasi 34 proses TI (Gambar II.3) yang
dikelompokkan ke dalam 4 domain utama, yaitu domain Planning and
14
Organisation (PO), Acquisition and Implementation (AI), Delivery and Support
(DS), dan Monitoring (M).
Gambar II.3 Proses-proses TI COBIT [5]
Setiap domain memiliki karakteristik yang berbeda. Peran dan fungsi dari masingmasing domain adalah sesuai dengan siklus struktur kerangka kerja COBIT. Pada
struktur kerangka kerja COBIT tersebut terdapat sumber daya TI yang secara
prinsip tersedia dalam jumlah yang terbatas. Untuk menyediakan informasi yang
mendukung sasaran dan kebutuhan bisnis, maka penggunaan sumber daya TI
perlu diatur dan dilakukan sesuai siklus langkah-langkah yang terbagi ke dalam
empat domain tersebut.
1. Planning and Organisation (PO)
Domain ini mencakup strategi dan taktik, serta perhatian pada identifikasi cara
TI dalam memberikan kontribusi terbaiknya pada pencapaian objektif bisnis.
Selanjutnya, realisasi visi strategis perlu direncanakan, dikomunikasikan dan
dikelola untuk perspektif yang berbeda. Akhirnya suatu organisasi yang tepat
seperti halnya infrastruktur teknologi harus diletakkan sesuai pada tempatnya.
2. Acquisition and Implementation (AI)
Solusi TI perlu diidentifikasi, dikembangkan atau diperoleh untuk
merealisasikan strategi TI, serta diimplementasikan dan diintegrasikan
15
kedalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada dicakup
dalam domain ini untuk memastikan solusi berlangsung untuk memenuhi
objektif bisnis.
3. Delivery and Support (DS)
Domain ini dihubungkan dengan penyampaian sesungguhnya layanan yang
diperlukan, yang mencakup penyediaan layanan, manajemen keamanan dan
kelangsungan, dukungan layanan pada user, manajemen data dan fasilitas
operasional.
4. Monitoring (M)
Seluruh kendali-kendali yang diterapkan pada setiap proses TI harus diawasi
dan dinilai kelayakannya secara berkala. Domain ini berfokus pada masalah
kendali-kendali yang diterapkan dalam perusahaan, pemeriksaan internal dan
eksternal.
II.2.2 Kriteria Informasi
COBIT mengidentifikasi kebutuhan bisnis perusahaan ke dalam tujuh kriteria
informasi yang tercakup dalam aspek quality, fiduciary, dan security, yaitu [10] :
1. Quality requirements
a. Effectiveness. Menyangkut kesesuaian antara TI yang diterapkan dengan
kebutuhan dari proses bisnis (tepat, konsisten, dan dapat digunakan)
b. Efficiency. Menyangkut ketentuan informasi melalui penggunaan sumber
daya yang optimal (lebih produktif dan ekonomis).
2. Security requirements
a. Confidentiality. Menyangkut perlindungan informasi perusahaan yang
sensitif dari akses yang tidak sah.
b. Integrity. Berkaitan dengan keakuratan, kelengkapan dan keabsahan
informasi terhadap harapan (expectation) dan nilai bisnis.
c. Availability. Berkaitan dengan ketersediaan informasi yang diperlukan
proses bisnis saat ini dan yang akan datang, juga berhubungan dengan
perlindungan sumber daya-sumber daya TI yang penting.
16
3. Fiduciary requirements
a. Compliance. Menyangkut pemenuhan hukum, peraturan dan kesepakatan
kontrak.
b. Reliability. Berkaitan dengan ketentuan informasi yang memadai bagi
manajemen untuk mendukung pekerjaannya.
II.2.3 Sumber Daya TI
Kerangka kerja COBIT mendefinisikan sumber daya TI ke dalam 5 kategori, yaitu
[10]:
1. Data. Merupakan obyek-obyek yang diartikan dalam pengertian yang luas
(internal maupun eksternal), terstruktur dan tidak terstruktur, grafik, suara dan
sebagainya.
2. Application systems. Meliputi prosedur manual dan aplikasi komputer.
3. Technology. Meliputi perangkat keras, sistem operasi, sistem manajemen
database, jaringan (networking), multimedia, dan sebagainya.
4. Facilities. Semua sumber daya untuk menyimpan dan mendukung sistem
informasi.
5. People.
Meliputi
merencanakan,
keahlian
staf,
kesadaran
mengorganisasikan,
dan
produktifitas
memperoleh,
untuk
menyampaikan,
mendukung, mengawasi dan mengevaluasi layanan dan sistem informasi
II.2.4 Perbedaan COBIT versi 3.0 dan versi 4.1
1. Perbedaan pada tingkatan framework
Perbedaan utama pada framework COBIT 4.1 sebagai hasil dari pembaharuan
pada COBIT 3.0 antara lain adalah [12] :
a. Domain Monitoring (M) berubah menjadi Monitor and Evaluate (ME).
b. M3 dan M4 adalah proses audit dan bukan merupakan proses TI. Kedua
proses telah dihilangkan karena diasumsikan telah diwakili oleh standarstandar audit TI, namun referensinya tetap dicantumkan di dalam
framework yang baru untuk memenuhi kebutuhan manajemen dan
penggunaan fungsi penjaminan.
17
c. ME3 adalah proses yang terkait dengan pandangan regulasi, yang pada
versi sebelumnya diwakili oleh PO8.
d. ME4 mencakup proses pandangan tata kelola TI yang terkait dengan
tujuan COBIT sebagai framework tata kelola TI. Penempatan proses
tersebut pada urutan yang terakhir dimaksudkan untuk mendasari
dukungan bahwa setiap proses menyediakan tujuan utama untuk
menerapkan tata kelola TI di perusahaan.
e. Dengan dihilangkannya PO8 dan kebutuhan untuk menetapkan urutan
PO9 (Menilai resiko) dan PO10 (Mengelola proyek) sesuai dengan COBIT
versi 3, maka PO8 diubah menjadi proses mengelola kualitas yang
sebelumnya dicakup pada proses PO11. Domain PO pada versi 4.1
memiliki 10 proses.
f. Domain AI mengalami dua perubahan: penambahan proses pengadaan dan
kebutuhan untuk dimasukkannya aspek release management pada proses
AI5. Perubahan pada versi terbaru menunjukkan bahwa hal tersebut
seharusnya merupakan proses terakhir dalam domain AI sehingga menjadi
AI7. Kekosongan pada AI5 digunakan untuk menambahkan proses
pengadaan yang baru. Domain AI pada versi 4.1 mengalami penambahan
dari 6 proses menjadi 7 proses.
g. Pembaharuan yang dilakukan dari COBIT 4.0 ke COBIT 4.1 mencakup:
h. Penambahan pada tinjauan eksekutif
i. Penjelasan mengenai tujuan dan metrik pada bagian framework
j. Penjelasan yang lebih baik mengenai konsep utama. Penjelasan mengenai
tujuan kendali mengalami perubahan menjadi pernyataan kaidah
manajemen.
k. Peningkatan tujuan kendali yang dihasilkan dari praktek kendali yang
diperbaharui dan kegiatan pengembangan ValIT. Beberapa tujuan kendali
dikelompokkan atau dinyatakan ulang untuk menghindari terjadinya
tumpang tindih dan membuat susunan tujuan kendali dalam sebuah proses
menjadi lebih konsisten. Perubahan-perubahan tersebut berdampak pada
penomoran ulang dari tujuan kendali yang ada. Beberapa tujuan kendali
18
dinyatakan kembali untuk mejadikannya lebih berorientasi pada tindakan
dan konsistensi pernyataan. Beberapa revisi yang spesifik antara lain:
− AI5.5 dan AI5.6 digabungkan dengan AI5.4
− AI7.9, AI7.10 dan AI7.11 digabungkan dengan AI7.8
− ME3 telah direvisi untuk memastikan kesesuaian dengan kebutuhan
kontrak sebagai tambahan pada kebutuhan legal dan regulasi
l. Kendali aplikasi telah dibuat agar menjadi lebih efektif, berdasarkan pada
kegiatan untuk mendukung penilaian dan pelaporan efektifitas kendali.
Hal tersebut berdampak pada urutan 6 kendali aplikasi yang menggantikan
18 kendali aplikasi pada COBIT 4.0, dengan penjelasan yang lebih detail
pada COBIT Control Practices edisi kedua.
m. Urutan tujuan bisnis dan tujuan TI pada Appendix I COBIT telah
ditambahkan berdasarkan pandangan baru dari hasil penelitian validasi
yang dilakukan oleh University of Antwerp Management School
(Belgium).
n. Telah dilakukan penambahan untuk menyediakan urutan referensi singkat
mengenai proses-proses COBIT, dan revisi pada diagram tinjauan yang
menggambarkan domain-domain agar mencakup referensi terhadap
elemen kendali aplikasi dan proses pada framework COBIT.
o. Peningkatan yang diidentifikasi oleh pengguna COBIT (COBIT 4.0 dan
COBIT Online) telah direview dan digabungkan sesuai kebutuhan.
2. Tujuan Kendali
Pembaharuan framework COBIT telah merubah tujuan kendali di dalamnya
secara
signifikan.
Komponen-komponen
tersebut
telah
mengalami
pengurangan jumlah dari 215 menjadi 210, karena seluruh materi yang
bersifat umum hanya ditempatkan pada tingkatan framework dan tidak
mengalami pengulangan pada setiap proses. Seluruh referensi bagi kendali
aplikasi dipindahkan pada framework dan tujuan kendali spesifik digabungkan
dalam pernyataan baru. Untuk lebih memperlihatkan kegiatan transisional
yang terkait dengan tujuan kendali, maka perbedaan antara tujuan kendali
yang baru dan yang sebelumnya dapat dilihat pada Lampiran A.
19
3. Panduan Manajemen
Masukan dan keluaran telah ditambahkan untuk mengilustrasikan prosesproses yang saling membutuhkan dan proses-proses yang dilakukan secara
spesifik. Kegiatan dan tanggung jawab yang terkait juga telah dicantumkan.
Masukan dan pencapaian aktifitas menggantikan Critical Success Factors
pada COBIT versi 3.0. Metrik didasarkan pada penambahan tujuan bisnis
secara konsisten, pencapaian TI, pencapaian proses dan pencapaian aktifitas.
Metrik COBIT versi 3.0 juga telah direview dan diperbaiki agar lebih
representatif dan terukur.
II.3 Tahapan Penerapan Tata Kelola TI Menggunakan COBIT
Terdapat 4 fase penerapan Tata Kelola TI menggunakan COBIT, yaitu fase
identify needs (mengidentifikasi kebutuhan), envision solution (meramalkan
solusi), plan solution (merencanakan solusi), dan implement solution (menerapkan
solusi). Keempat fase tersebut merupakan tahapan yang harus dilalui untuk
menerapkan Tata Kelola TI (Gambar II.4).
Gambar II.4 Tahapan tata kelola TI [8].
1. Identify Needs (Mengidentifikasi Kebutuhan)
Pada fase ini dilakukan kegiatan-kegiatan penting untuk mengidentifikasi
kebutuhan Tata Kelola TI, seperti mengkomunikasikan dan mengkonfirmasi
ulang
20
kebutuhan, menyaring dan mendefinisikan kebutuhan, hingga memilih model
kendali dan proses-proses TI yang diperlukan dalam Tata Kelola TI. Untuk
memilih model kendali dan proses-proses TI, diperlukan langkah-langkah
sebagai
berikut:
a.
Memahami latar belakang inisiatif Tata Kelola TI dan menyusun tujuan
bisnis untuk proyek penerapan Tata Kelola TI, meningkatkan kesadaran
(awareness) dan mendefinisikan pengorganisasian proyek dengan tepat.
b.
Memahami tujuan bisnis dan bagaimana tujuan bisnis harus diterjemahkan
ke dalam tujuan TI.
c.
Memahami resiko potensial dan bagaimana resiko-resiko tersebut dapat
mempengaruhi tujuan TI.
d.
Menentukan lingkup proyek perbaikan dan mengidentifikasi proses-proses
TI yang akan diterapkan atau ditingkatkan.
2. Envision Solution (Meramalkan Solusi)
Fase kedua dari road map adalah envision solution (meramalkan solusi). Fase
ini terdiri dari tiga langkah utama.
a.
Mendefinisikan dimana status perusahaan saat ini (as-is) dan menilai
kemampuan dan kematangan proses-proses pada saat ini.
b.
Menetapkan target dari tingkat kematangan (to-be) dan kemampuan yang
reasonable dan sesuai untuk masing-masing proses TI.
c.
Menganalisis dan menerjemahkan gap antara as-is dan to-be ke dalam
peluang-peluang untuk melakukan peningkatan.
3. Plan Solution (Merencanakan Solusi)
Fase ketiga dari road map mengidentifikasi inisiatif-inisiatif peningkatan dan
menterjemahkannya ke dalam proyek yang dapat dipertimbangkan untuk
memenuhi tujuan bisnis dan mengurangi resiko. Kemudian proyek tersebut
diintegrasikan ke dalam suatu strategi peningkatan dan rencana program yang
terperinci dan mudah dilaksanakan untuk menjalankan solusi.
4. Implement Solution (Menerapkan Solusi)
Pada saat rencana peningkatan dijalankan, pelaksanaan rencana diatur oleh
proyek yang dibentuk dan metodologi manajemen perubahan. Kelangsungan
21
atas penyampaian hasil bisnis yang diinginkan dijamin oleh umpan balik dan
pembelajaran yang diperoleh dengan me-review pasca implementasi,
monitoring peningkatan kinerja perusahaan, dan IT balance scorecards.
II.4 Model Kematangan
Model kematangan (maturity model) digunakan sebagai alat untuk melakukan
benchmarking dan self-assessment oleh manajemen TI secara lebih efisien. Proses
benchmarking dapat dilakukan secara bertahap terhadap tujuan kendali, dimulai
dari proses-proses dan high-level control objectives pada COBIT sehingga dapat
diperoleh 3 hal berikut ini [6] :
1. Ukuran relatif terhadap kondisi organisasi saat ini
2. Petunjuk untuk memutuskan arah dan tujuan secara efisien
3. Perangkat untuk mengukur kemajuan terhadap pencapaian
Framework COBIT menjelaskan 34 proses TI dalam sebuah lingkungan TI. Pada
masing-masing proses terdapat sebuah high-level control statement dan antara 3
hingga 30 tujuan kendali. Tingkat kepatuhan terhadap tujuan kendali yang juga
dapat digunakan sebagai alat self-assessment sebaiknya direview secara
independen sehingga hasilnya dapat digunakan sebagai perbandingan terhdap
industri dan lingkungannya atau sebagai perbandingan terhadap standar dan
regulasi internasional yang selalu berevolusi. Metode presentasi dalam bentuk
grafik akan memudahkan penggunaan hasil penilaian dalam kegiatan briefing
manajemen karena dapat digunakan untuk mendukung business case untuk
rencana di masa depan.
Pendekatan model kematangan sebagai kendali di seluruh proses-proses TI
mencakup pengembangan metode penilaian yang digunakan oleh sebuah
organisasi untuk menilai posisinya dari non-existent (0) sampai optimised (5).
Pendekatan tersebut didasarkan pada model kematangan yang digunakan oleh
Software Engineering Institute untuk menentukan kematangan dalam kemampuan
pengembangan software. Skala yang digunakan dalam model kematangan harus
didasarkan pada serangkaian kondisi yang dapat dipenuhi secara jelas.
22
Manajemen dapat memetakan hal-hal berikut ini terhadap 34 proses-proses TI di
dalam COBIT [6] :
a.
Status organisasi saat ini
b.
Status industri saat ini – sebagai perbandingan
c.
Status panduan standar internasional saat ini – sebagai perbandingan
tambahan
d.
Strategi peningkatan organisasi – arahan untuk organisasi di masa depan
Skala pengukuran secara diberikan secara bertingkat untuk masing-masing proses
TI yang direpresentasikan oleh nilai dari 0 sampai 5. Skala tersebut terkait dengan
deskripsi model kematangan kualitatif yang berkisar antara “Non-existent” sampai
“Optimised” seperti yang ditunjukkan pada Gambar II.5 berikut ini.
Gambar II.5 Skala model kematangan [6]
Penjelasan dari masing-masing tingkatan kematangan antara lain adalah :
0-Non-Existent. Tidak terdapat proses yang terdokumentasi. Organisasi tidak
mengetahui bahwa terdapat permasalahan yang harus diatasi.
1-Initial. Terdapat bukti bahwa organisasi telah mengetahui bahwa terdapat
permasalahan yang perlu diatasi, namun tidak ada proses terstandarisasi selain
pendekatan ad-hoc yang cenderung diterapkan pada individu atau berdasarkan
kasus per kasus. Pendekatan keseluruhan terhadap manajemen tidak terorganisir
dengan baik.
23
2-Repeatable. Proses telah berkembang hingga tingkatan dimana prosedur sejenis
diikuti oleh beberapa orang yang memiliki pekerjaan yang sama. Tidak ada
prosedur standar komunikasi atau pelatihan formal dan tanggung jawab
diserahkan pada individu. Terdapat tingkat ketergantungan yang tinggi pada
pengetahuan individu sehingga seringkali terjadi kesalahan.
3-Defined. Prosedur telah distandarisasi, didokumentasikan, dan dikomunikasikan
melalui pelatihan, namun kepatuhan pada proses-proses tersebut bergantung pada
individu dan penyimpangan akan terdeteksi. Prosedur yang digunakan cukup
sederhana dan merupakan formalisasi dari kebiasaan yang ada.
4-Managed. Terdapat kemungkinan untuk mengukur kesesuaian dengan prosedur
dan mengambil tindakan apabila proses tidak berjalan secara efektif. Proses
berada pada peningkatan yang konstan dan memberikan petunjuk yang baik.
Otomasi dan perangkat tidak digunakan sepenuhnya atau digunakan secara
terpisah-pisah.
5-Optimised. Proses telah ditingkatkan hingga ke tingkat best practice
berdasarkan hasil peningkatan secara kontinu dan pemodelan kematangan
terhadap organisasi lainnya. TI digunakan secara terintegrasi untuk mengotomasi
alur kerja, menyediakan metode untuk meningkatkan kualitas dan efektivitas
sehingga membuat perusahaan dapat beradaptasi dengan cepat.
COBIT merupakan sebuah framework umum yang ditujukan untuk manajemen TI
dan skala tersebut harus bersifat praktis untuk diterapkan dan mudah dipahami.
Namun topik resiko dan kendali yang sesuai dalam proses manajemen TI bersifat
subjektif dan tidak tepat serta tidak memerlukan pendekatan mekanis seperti pada
model kematangan untuk rekayasa perangkat lunak. Keuntungan dari model
kematangan adalah kemudahan bagi pihak manajemen untuk menempatkan status
pada skala yang ditentukan dan memberikan apresiasi pada hal-hal yang
diperlukan untuk meningkatkan kinerja. Peningkatan kematangan dan kapabilitas
berbanding lurus dengan peningkatan manajemen resiko dan efisiensi.
Model kematangan merupakan sebuah cara untuk mengukur perkembangan
proses-proses manajemen yang bergantung pada kebutuhan bisnis. Skala
24
merupakan contoh untuk proses manajemen yang menunjukkan skema tertentu
untuk setiap tingkat kematangan. Skala model kematangan akan membantu para
profesional untuk menjelaskan permasalahan yang terjadi pada manajer dan
menentukan target untuk membandingkan dengan contoh best practice. Tingkat
kematangan yang tepat akan dipengaruhi oleh tujuan bisnis perusahaan dan
lingkungan pengoperasian. Tingkat kematangan kendali akan ditentukan oleh
tingkat ketergantungan perusahan pada TI, lingkup teknologi dan nilai dari
informasi.
Model kematangan dibentuk dari model kualitatif generik yang ditambahkan oleh
prinsip dan penerapan domain-domain berikut ini secara bertahap :
1. Pemahaman dan kepedulian atas permasalahan kendali dan resiko
2. Pelatihan dan komunikasi yang diterapkan
3. Teknik dan otomasi untuk membuat proses menjadi lebih efektif dan efisien
4. Tingkat kepatuhan terhadap kebijakan internal, hukum dan regulasi
5. Jenis dan tingkat keahlian yang digunakan
II.5 Critical Success Factors
Critical Success Factors (CSF) berfungsi sebagai panduan bagi manajemen dalam
menerapkan kendali untuk TI dan proses-prosesnya. CSF merupakan hal yang
paling penting dilakukan serta berkontribusi dalam mencapai tujuan yang akan
dicapai oleh proses-proses TI. CSF merupakan aktivitas yang dapat bersifat
strategis, teknis, organisasional, proses atau kebiasaan prosedural. CSF umumnya
terkait dengan kemampuan dan keahlian serta harus bersifat singkat, terfokus dan
berorientasi pada tindakan, serta mempengaruhi sumberdaya yang sangat penting
dalam sebuah proses.
Model kendali standar pada Gambar II.6 berikut ini mengidentifikasi sejumlah
CSF yang umumnya diterapkan untuk keseluruhan proses karena terkait dengan
apa yang dimaksud dengan standar, pihak mana yang menyusun, mengontrol atau
mengambil tindakan, dan sebagainya. Prinsip-prinsip dari model kendali tersebut
antara lain :
25
1. Proses yang terdefinisi dan terdokumentasi
2. Kebijakan yang terdefinisi dan terdokumentasi
3. Akuntabilitas yang jelas
4. Dukungan/komitmen yang kuat dari manajemen
5. Komunikasi yang tepat ke pihak internal dan eksternal
6. Pelaksanaan pengukuran secara konsisten
Gambar II.6 Model Kendali Standar [6]
Prinsip-prinsip kendali juga dibutuhkan pada tingkatan strategis, taktis dan
admnistratif. Umumnya terdapat 4 jenis aktivitas pada tiap tingkatan yang saling
mengikuti secara berurutan : perencanaan, pelaksanaan, pengecekan dan
pengoreksian. Mekanisme feedback dan pergantian kendali antara setiap tingkatan
harus dipertimbangkan (Gambar II.7). Misalnya <<pelaksanaan>> pada masukan
tingkat strategis <<perencanaan>> pada tingkat taktis, atau <<pengecekan>> pada
tingkat administratif dikonsolidasikan pada <<pengecekan>> pada tingkatan taktis
dan seterusnya.
Gambar II.7 Mekanisme feedback dan pergantian kendali antara setiap tingkatan
[6]
26
II.6 Pengukuran Kinerja
Pencapaian dan metrik didefinisikan dalam COBIT pada tiga tingkatan :
1. Ukuran dan pencapaian TI, yang mendefinisikan apa yang diharapkan bisnis
dari TI (mengukur TI dari perspektif bisnis).
2. Pencapaian proses dan ukuran yang mendefinisikan proses apa yang harus
diberikan untuk mendukung objektif TI (bagaimana pemilik proses TI akan
diukur).
3. Ukuran kinerja proses (untuk mengukur seberapa baik proses dilakukan
untuk menunjukkan jika pencapaian kemungkinan besar terpenuhi).
COBIT menggunakan 2 jenis ukuran yaitu indikator pencapaian dan indikator
kinerja. Indikator pencapaian pada tingkat yang lebih rendah menjadi indikator
kinerja pada tingkatan yang lebih tinggi.
Key Goal Indicators (KGI) mendefinisikan pengukuran yang menginformasikan
kepada manajemen setelah terjadinya fakta apabila suatu proses TI telah mencapai
kebutuhan bisnisnya, biasanya dinyatakan berkaitan dengan kriteria informasi
berikut ini:
1. Ketersediaan informasi yang diperlukan untuk mendukung kebutuhan
bisnis.
2. Tidak adanya integritas dan resiko kerahasiaan.
3. Efisiensi biaya proses dan operasi.
4. Konfirmasi kehandalan, efektivitas dan kepatuhan.
Key
Performance
menentukan
Indicators
seberapa
mengindikasikan
baik
(KPI)
mendefinisikan
proses-proses
TI
pengukuran
dilakukan.
Hal
yang
ini
kemungkinan terpenuhinya pencapaian. KPI disamping
merupakan indikator terpenuhinya pencapaian dan juga merupakan indikator
kapabilitas, praktek dan keahlian yang baik. KPI mengukur pencapaian aktivitas
yang merupakan tindakan yang harus diambil pemilik proses untuk mencapai
proses yang efektif.
Related documents
AI-C-13_Izza Zakiatul Ulya_REVIEW JURNAL AUDIT SISTEM
AI-C-13_Izza Zakiatul Ulya_REVIEW JURNAL AUDIT SISTEM
Pengelolaan Investasi Teknologi Informasi
Pengelolaan Investasi Teknologi Informasi
RANGKUMAN COBIT 5
RANGKUMAN COBIT 5
penerapan cobit framework untuk menilai pengelolaan
penerapan cobit framework untuk menilai pengelolaan
Landasan Audit Sistem Informasi
Landasan Audit Sistem Informasi
Cobit 5 Chapter 7 – Ika Nur Syafitri(111324009)
Cobit 5 Chapter 7 – Ika Nur Syafitri(111324009)
Framework Audit SI
Framework Audit SI
bab iii metodologi penelitian
bab iii metodologi penelitian
AUDIT SISTEM INFORMASI MANAJEMEN ASET
AUDIT SISTEM INFORMASI MANAJEMEN ASET
Strategi Penyelarasan Arsitektur TI dengan Kebutuhan Organisasi
Strategi Penyelarasan Arsitektur TI dengan Kebutuhan Organisasi
Download
advertisement