DATA RIWAYAT HIDUP

Data Diri

Nama : Myrna Dwi Rahmatya

Tempat, Tanggal Lahir : Bandung, 26 Juni 1989

Alamat : Jl. Denki No. 57 – Moh. Toha

RT/RW 06/08 Kec. Regol Bandung 40253

Telp/Handphone : 022-5221159/085320322236

Email : myrna1412@ymail.com

Pendidikan Terakhir

1. 2007-2011 : Program Strata I, Jurusan Sistem Informasi, Universitas Komputer Indonesia

2. 2012-2014 : Program Pasca Sarjana, Magister Sistem Informasi, Universitas Komputer Indonesia

Pengalaman Kerja

1. Praktik Kerja Lapangan di Dinas Perindustrian dan Perdagangan Tahun 2010 2. Administrasi Penjualan di PT. BCKS, Cisirung, Bandung Tahun 2011-2012 3. Dosen Luar Biasa di Jurusan Sistem Informasi UNIKOM tahun 2013-2014

dengan mata kuliah Aplikasi Sistem Informasi dan Komputer dan Masyarakat.

71 BAB V

KESIMPULAN DAN SARAN

5.1 Kesimpulan

Berdasarkan hasil analisis dapat diambil beberapa kesimpulan mengenai pengukuran manajemen risiko TI, yaitu sebagai berikut:

1. Memetakan capability level manajemen risiko TI di PT. X menggunakan COBIT 5. Berdasarkan hasil analisis secara umum manajemen risiko TI pada PT. X berada di level 1, yaitu EDM03, APO12, DSS01, DSS05 dan MEA02. PT. X telah menjalankan proses manajemen risiko TI namun belum berjalan dengan baik karena masih ditemui permasalahan-permasalahan terkait TI yang dapat berdampak pada operasional.

2. Berdasarkan hasil analisis gap maka secara umum PT. X berada di level 1 dan terdapat gap sebesar 1 untuk mencapai level 2. Berikut rekomendasi untuk dapat meningkatkan capability level manajemen risiko TI:

a. Melengkapi semua proses di level 1. Kemudian melakukan assessment untuk mengetahui apakah kelima proses tersebut telah mencapai level 1 dengan capaian fully achieved.Assessment dapat dilakukan setelah usaha peningkatan level dijalankan selama 1-3 tahun.

b. Jika level 1 sudah terpenuhi maka untuk dapat mencapai level yang diharapkan, yaitu level 2 dengan mengelola kinerja proses (merencanakan, memantau, menyesuaikan dan menentukan siapa saja

72 yang terlibat) dan mengelola kriteria serta kualitas work product dari setiap proses.

5.2 Saran

Penelitian ini memiliki keterbatasan, yaitu hanya menilai area manajemen risiko. Oleh karena itu, untuk penelitian selanjutnya dapat mengembangkan penelitian ke area IT governance lainnya.

Sementara itu, saran bagi PT. X ialah bila melakukan peningkatan terhadap 5 proses terpilih maka perlu melakukan pemantauan terhadap proses-proses tersebut dan terus melakukan penyesuaian untuk mencapai capability level yang diharapkan dari manajemen risiko TI.

43 BAB III

OBYEK DAN METODOLOGI PENELITIAN 3.1 Obyek Penelitian

Penelitian Dilakukan di PT. X, di Jalan Banda, Bandung. Obyek penelitian dilakukan pada Direktorat Teknologi dan Keuangan, khususnya pada Area Teknologi dan Informasi.

3.1.1 Gambaran Umum dan Sejarah

Kantor pos pertama didirikan di Batavia (Jakarta) oleh Gubernur Jendral G.W Baron van Imhoff pada tanggal 26 Agustus 1746 dengan tujuan untuk lebih menjamin keamanan surat-surat penduduk, terutama bagi mereka yang berdagang dari kantor-kantor di luar Jawa dan bagi mereka yang datang dari dan pergi ke Negeri Belanda. Sejak itulah pelayanan pos telah lahir mengemban peran dan fungsi pelayanan kepada publik.

Setelah Kantor pos Batavia didirikan, maka empat tahun kemudian didirikan Kantor pos Semarang untuk mengadakan perhubungan pos yang teratur antara kedua tempat itu dan untuk mempercepat pengirimannya. Rute perjalanan pos saat itu ialah melalui Karawang, Cirebon dan Pekalongan.

Pos Indonesia telah beberapa kali mengalami perubahan status mulai dari Jawatan PTT (Post, Telegraph dan Telephone). Badan usaha yang dipimpin oleh seorang Kepala Jawatan ini operasinya tidak bersifat komersial dan fungsinya lebih diarahkan untuk mengadakan pelayanan publik. Perkembangan terus terjadi hingga statusnya menjadi Perusahaan Negara Pos dan Telekomunikasi (PN

44 Postel). Mengamati perkembangan zaman dimana sektor pos dan telekomunikasi berkembang sangat pesat, maka pada tahun 1965 berganti menjadi Perusahaan Negara Pos dan Giro (PN Pos dan Giro), dan pada tahun 1978 berubah menjadi Perum Pos dan Giro yang sejak ini ditegaskan sebagai badan usaha tunggal dalam menyelenggarakan dinas pos dan giro pos baik untuk hubungan dalam maupun luar negeri. Selama 17 tahun berstatus Perum, maka pada Juni 1995 berubah menjadi Perseroan Terbatas dengan nama PT Pos Indonesia (Persero).

Dengan berjalannya waktu, Pos Indonesia kini telah mampu menunjukkan kreativitasnya dalam pengembangan pos Indonesia dengan memanfaatkan infrastruktur jejaring yang dimilikinya yang mencapai sekitar 24 ribu titik layanan yang menjangkau 100 persen kota/kabupaten, hampir 100 persen kecamatan dan 42 persen kelurahan/desa, dan 940 lokasi transmigrasi terpencil di Indonesia. Seiring dengan perkembangan informasi, komunikasi dan teknologi, jejaring Pos Indonesia sudah memiliki 3.700 Kantor pos online, serta dilengkapi electronic mobile pos di beberapa kota besar. Semua titik merupakan rantai yang terhubung satu sama lain secara solid dan terintegrasi. Sistem Kode Pos diciptakan untuk mempermudah proses kiriman pos dimana tiap jengkal daerah di Indonesia mampu diidentifikasi dengan akurat.

3.1.2 Visi dan Misi

PT. X memiliki visi, yaitu “Menjadi pemimpin pasar di Indonesia dengan menyediakan layanan suratpos, paket, dan logistik yang handal serta jasa keuangan yang terpercaya”.

45 Untuk mewujudkan visi tersebut, maka misi yang ditetapkan adalah sebagai berikut :

1. Berkomitmen kepada pelanggan untuk menyediakan layanan yang selalu tepat waktu dan nilai terbaik,

2. Berkomitmen kepada karyawan untuk memberikan iklim kerja yang aman, nyaman dan menghargai kontribusi,

3. Berkomitmen kepada pemegang saham untuk memberikan hasil usaha yang menguntungkan dan terus bertumbuh,

4. Berkomitmen untuk berkontribusi positif kepada masyarakat,

5. Berkomitmen untuk berperilaku transparan dan terpercaya kepada seluruh pemangku kepentingan.

46 3.1.3 Struktur Organisasi

Berikut ini struktur organisasi bagian teknologi dan jasa keuangan pada PT. X seperti pada gambar 3.1.

Gambar 3. 1. Struktur Organisasi PT. X

3.2 Metodologi Penelitian

Metodologi penenilitian merupakan serangkaian cara atau langkah untuk memecahkan suatu masalah. Metodologi penelitian terdiri dari merumuskan masalah, analisis manajemen risiko dengan COBIT 5, membuat rekomendasi berdasarkan hasil analisis dan diakhiri dengan dokumentasi. Metodologi penelitian yang digunakan terlihat pada gambar 3.2.

DIREKTUR TEKNOLOGI DAN JASA

KEUANGAN SVP TEKNOLOGI INFORMASI SVP JASA KEUANGAN VP PERENCANAAN DAN PENGEMBANGAN TEKNOLOGI INFORMASI VP PENGEMBANG AN BISNIS JASA KEUANGAN TEKNOLOGI INFORMASI REPRESENTATIVES SENTRAL GIRO LAYANAN AREA TEKNOLOGI INFORMASI AREA JASA KEUANGAN PERANGK AT LUNAK ADMINISTRASI DAN INFRASTRUKTUR ACCOUNT MANAGER MANAJER KINERJA JASA

47

Gambar 3. 2. Metodologi Penelitian

3.2.1 Merumuskan Masalah

Pada tahap ini dilakukan perumuskan permasalahan yang terjadi terkait dengan manajemen risiko TI. Dengan adanya perumusan masalah, maka akan

48 menjadikan panduan untuk penelitian ini agar mendapatkan tujuan akhir seperti yang diharapkan.

Manajemen risiko TI di PT. X belum berjalan dengan baik. Hal ini terlihat dari munculnya masalah-masalah berikut ini:

1. Penyalahgunaan hak akses, seperti penggunaan password DBA yang dibagi pakai sehingga mengakibatkan kehilangan/kerusakan database tanpa kejelasan siapa dan unit mana yang bertanggung jawab, user dan password diketahui oleh yang tidak berhak dan kecurangan ditemukan dalam waktu yang lama dikarenakan tidak adanya penghapusan user lama,

2. Waktu respon CPU melambat dan transaksi terganggu karena penggunaan aplikasi layanan transaksi di loket bercampur dengan aplikasi lain yang tidak berhubungan,

3. Tidak terpantaunya masa pakai komponen mesin yang dapat mengganggu terhentinya transaksi layanan dan sering terjadi kerusakan peralatan elektronik (alat komunikasi, switch, hub dan sebagainya) yang mengakibatkan terhentinya kegiatan operasional.

3.2.2 Studi Literatur

Pada tahap ini dilakukan studi dari berbagai pustaka yang relevan dengan kajian tesis. Studi literatur dilakukan dengan cara:

1. Membaca jurnal / paper yang terkait dengan topik penelitian 2. Studi literatur dari tesis terdahulu

49

4. Pencarian data di internet.

3.2.3 Menentukan Proses COBIT 5

Pada tahap ini dilakukan pemilihan proses dengan menggunakan mapping COBIT 5, khususnya yang berkaitan dengan optimasi risiko seperti yang terlihat di tabel 2.2 yang terdapat pada sub bab COBIT 5. Proses yang dipilih, yaitu: 1. EDM03 - Ensure Risk Optimisation

Deskripsi dari proses EDM03 adalah memastikan besarnya resiko dan toleransi yang dapat diterima perusahaan dimengerti, dikomunikasikan, dan dilakukan kegiatan pengidentifikasian dan pengelolaan risiko-risiko yang berhubungan dengan nilai TI pada perusahaan.

2. APO12 - Manage Risk

Deskprisi dari proses APO12 adalah secara terus menerus mengidentifikasi, menilai dan mengurangi risiko yang berhubungan dengan TI didalam level toleransi yang ditentukan oleh manajemen perusahaan.

3. DSS01 - Manage Operations

Deskripsi dari proses DSS01 adalah mengkoordinasikan dan mengeksekusi aktivitas dan prosedur operasional yang dibutuhkan untuk menghasilkan layanan TI internal maupun outsourced, termasuk eksekusi atas SOP dan aktivitas pemantauannya.

4. DSS05 - Manage Security Services

Deskripsi dari proses DSS05 adalah melindungi informasi perusahaan untuk mempertahankan tingkatan dari keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijaksanaan keamanan. Menetapkan dan

50 mempertahankan peran keamanan informasi dan hak akses serta melakukan pengawasan keamanan.

5. MEA02 - Monitor, Evaluate, and Assess the System of Internal Control Deskripsi dari proses MEA02 adalah secara terus-menerus mengawasi dan mengevaluasi lingkungan kontrol, termasuk penilaian diri sendiri, dan review dari assurance independen. Memungkinkan manajemen untuk mengidentifikasi kekurangan kontrol dan ketidakefektifan dan menginisialisasi aksi perbaikan. Merancang, mengorganisasi, dan mempertahankan standar untuk penilaian kontrol internal dan aktivitas assurance.

Proses DSS01 dipilih karena dianggap dapat memberikan solusi terkait risiko di PT. X yang berhubungan dengan operasional, yaitu gangguan pada komponen mesin atau peralatan TI.

3.2.4 Menggunakan Kuesioner

Menggunakan kuesioner COBIT 5 yang berisi output dari setiap proses. Kuesioner tersebut dibagikan kepada empat responden, yaitu:

1. Bagian Pengembangan Perangkat Lunak 2. Bagian Infrastruktur

3. Bagian Kemanan TI 4. Manajemen Risiko.

51 3.2.5 Pengumpulan Data

Pengumpulan data dilakukan melalui wawancara dan mengumpulkan kuesioner.

3.2.5 Analisis

Pada tahap ini dilakukan pengukuran proses terpilih dengan melakukan pemetaan capability level dan analisis gap. Dengan mengetahui capability level proses dapat diketahui kondisi manajemen risiko TI PT. X saat ini. Kemudian melalui analisis gap, level tersebut dibandingkan dengan level yang ingin dicapai.

3.2.5.1 Mengukur Capability Level

Pada tahap ini dilakukan pengukuran terhadap kesepuluh proses terpilih dengan memetakan capability level dari setiap proses.

3.2.5.2 Menentukan Capability Level yang ingin dicapai

Setelah mengukur capability level perproses dilanjutkan dengan menentukan target capability level yang ingin dicapai setiap prosesnya.

3.2.5.3 Analisis Gap

Analisis gap dilakukan dengan membandingkan capability level saat ini dengan level yang ingin dicapai. Dengan begitu dapat diketahui proses mana yang perlu mengalami peningkatan dan kesenjangannya.

52 3.2.6 Membuat Rekomendasi

Setelah melakukan pemetaan dan analisis gap, dilanjutkan dengan membuat rekomendasi untuk penerapan manajemen risiko TI yang lebih efektif dan dapat mencapai level yang diharapkan.

1 BAB II

TINJAUAN PUSTAKA 2.1 Risiko

Dalam organisasi risiko didefinisikan sebagai segala sesuatu yang dapat berdampak pada pemenuhan tujuan organisasi. Berikut definisi risiko :

Paul Hopkin menyatakan bahwa Risk is event with the ability to impact (inhibit, enhance or cause doubt about) the mission, strategy, projects, routine operations, obejctives, core processes, key dependencies and/or the delivery of stakeholder expectations [1].

Selain itu, ISO 31000 menyatakan bahwa risiko merupakan efek ketidakpastian objektif. Dimana efek tersebut dapat bersifat positif, negatif atau penyimpangan dari yang diharapkan. Risiko seringkali digambarkan sebagai kejadian, perubahan keadaan atau suatu konsekuensi [1].

Risiko merupakan kejadian yang merupakan efek ketidakpastian. Efek tersebut dapat bersifat positif berupa peluang dan bersifat negatif yang dapat mengakibatkan kerugian yang dapat berdampak pada misi, strategi, proyek, operasi, proses bisnis dan tujuan perusahaan.

Risiko menjadi hal penting karena dengan mengidentifikasi risiko, organisasi dapat mencapai peningkatan pada tiga area, yaitu :

1. Operasi akan berjalan lebih efisien karena hal-hal atau kejadian-kejadian yang dapat mengganggu akan teridentifikasi dan dapat segera menentukan penanganan risiko yang tepat.

2. Proses akan lebih efektif.

2 Setiap risiko memiliki karakteristiknya masing-masing. Risiko terbagi menjadi tiga kategori, yaitu[1]:

1. Hazard Risks

Umumnya, risiko ini merupakan risiko yang dapat diasuransikan seperti kebakaran, banjir, kecelakaan, dan sebagainya. Ancaman-ancaman yang dapat mengganggu operasi dapat berasal dari manusia, aset, pemasok, komunikasi dan TI. Dalam TI misalnya, gangguan yang timbul seperti virus komputer dan rusaknya perangkat keras.

2. Control Risks

Control risks adalah risiko yang paling sulit diidentifikasikan dan seringkali berhubungan dengan manajemen proyek. Berkaitan dengan kejadian yang tidak diketahui dan tidak terprediksi. Dalam hal ini, dapat diketahui peristiwa apa yang akan terjadi tetapi dampaknya yang tepat mengenai peristiwa-peristiwa itu sulit diprediksi dan dikendalikan. Oleh karena itu, yang dapat dilakukan ialah meminimalkan dampak yang akan muncul.

3. Opportunity Risks

Opportunity risks adalah risiko yang (biasanya) sengaja dicari oleh organisasi. Risiko ini timbul karena organisasi berusaha untuk meningkatkan pencapaian misi, meskipun mungkin dapat menghambat organisasi jika hasilnya buruk.

Banyak organisasi yang bersedia untuk berinvestasi dalam strategi bisnis yang berisiko tinggi untuk mendapatkan profit.

3 2.2 Konsep Manajemen Risiko TI

Manajemen risiko membantu pengambilan keputusan dan meningkatkan efisiensi. Manajemen risiko juga memberikan jaminan yang lebih besar bagi stakeholder. Berikut ini pengertian manajemen risiko :

Risk management is a scientific approach to dealing with risks by anticipating possible losses and designing and implementing procedures that minimize the occurence of loss or the financial impact of the losses that do occur [14].

Menurut IRM (Institute of Risk Management) manajemen risiko adalah proses yang bertujuan membantu pemahanan organisasi, evaluasi, dan penanganan risiko dengan meningkatkan kemungkinan sukses dan mengurangi tingkat kegagalan [14].

Manajemen risiko merupakan suatu pendekatan ilmiah yang dilakukan untuk mengenali dan mengelola risiko serta kejadian-kejadian yang mungkin akan muncul, meminimalkan dampaknya dan menentukan penanganan risiko yang tepat untuk meningkatkan peluang sukses.

Menurut COBIT manajemen risiko terdiri dari 4 proses, yaitu[10]: 1. Identifikasi risiko

Manajemen risiko dimulai dengan membuat daftar risiko yang mungkin akan dapat berdampak pada proses bisnis.

2. Penilaian risiko

Memilah-milah risiko mana saja yang perlu diperhatikan sebab ada risiko-risiko yang dapat diabaikan karena dampaknya yang tidak terlalu besar. Penilaian risiko dapat dilakukan berdasarkan tingkat kemunculannya dan dampaknya yang ditimbulkannya.

4 3. Respon risiko

Setelah melakukan identifikasi dan penilaian terhadap risiko, maka perlu membuat keputusan tentang bagaimana menangani risko tersebut seperti : a. Mitigasi risiko

Mengurangi risiko dengan meminimalkan tingkat kemunculannya atau meminimalkan dampaknya.

b. Menghindari risiko

Menghindari risiko dengan mengubah kondisi atau menghilangkan risiko dengan tidak melakukan tindakan-tindakan yang dapat menimbulkan risiko.

c. Transfer risiko

Melempar risko pada pihak lain, misalnya pada pihak asuransi. d. Menerima risiko

Menerima risiko yang ada. 4. Kontrol penanganan risiko

Memantau proses manajemen risiko, memantau apakah respon yang diberikan terhadap risiko sudah tepat atau belum.

2.3 IT Governance

Berikut definisi IT governance menurut ITGI:

IT governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consist of the leadership and organisational structures and processes that ensure the organisation’s IT sustain adn extends the organisation’s strategies and objectives [7].

5 Sedangkan Robert S. Roussey berpendapat bahwa:

IT governance is the terms used to describe how those persons entrusted with fovernance of an entity will consider IT in their supervision, monitoring, control and direction of the entity. How IT is applied will have an immense impact on whether the entity its vision, mission or strategic goals [7].

Tata kelola TI terdiri dari kepemimpinan, struktur organisasi dan proses yang menjamin TI membantu perusahaan mencapai visi, misi atau tujuan strategis organisasi.

Tata kelola TI fokus pada sistem TI, kinerja dan manajemen risiko. Tujuan tata kelola TI ialah memastikan bahwa investasi di bidang TI menghasilkan nilai bisnis dan mengurangi risiko yang berkaitan dengan TI.

Gambar 2. 1. Area Fokus Tata Kelola TI (ITGI:2007)

Faktor-faktor yang perlu diperhatikan dalam tata kelola TI ialah[7]: 1. Strategic alignment

Memastikan invesntasi TI sesuai dengan strategi organisasi dengan memaksimalkan peluang yang ada dengan menggunakan TI.

6 2. Value delivery

Manfaat-manfaat yang dapat dihasilkan dari penggunaan TI. Memberikan nilai pada organisasi dan diarahkan oleh kebutuhan organisasi.

3. Risk management

Menjaga keamanan aset TI, kelangsungan operasional dan melindungi aset dari bencana.

4. Resource management

Memastikan TI memadai, kompeten, dan efektif dalam memenuhi kebutuhan organisasi.

5. Performance measurement

Organisasi menilai kinerja TI dan menangani kekurangan-kekurangan yang ada, yaitu dengan menelusuri dan memantau layanan TI.

2.4 COBIT 5

The Control Objectives for Information and Related Technology (COBIT) menjadi standar yang diterima secara global untuk tata kelola TI. COBIT diciptakan Information Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1996. COBIT pertama dirilis pada tahun 1996, COBIT 2 tahun 1998, COBIT 3 tahun 2000, COBIT 4 tahun 2005, COBIT 4.1 tahun 2007 dan COBIT 5 tahun 2012[8].

COBIT 5 memungkinkan informasi dan terkait teknologi untuk dikelola dan atur secara holistik untuk enterprise secara keseluruhan, melihat bisnis secara

7 end-to-end dan tanggung jawab area fungsional, mempertimbangkan minat stakeholder internal dan eksternal terkait TI[8].

COBIT 5 memungkinkan tata kelola yang efektif serta manajemen aset TI perusahaan. Hal ini memungkinkan kepuasan pengguna bisnis yang melibatkan TI untuk bisnisnya dan mencapai tujuan bisnis.

COBIT 5 dibangun berdasarkan COBIT, Val IT dan Risk IT. Ketika menerapkan COBIT 5, organisasi harus menentukan prioritas kepentingan dari stakeholder, apa harapan stakeholder, kemampuan fungsi TI ntuk memenuhi harapan tersebut dan siapa yang bertanggung jawab untuk melakukannya. Hal ini membutuhkan pengetahuan mengenai dasar proses dan sistem manajemen yang mendukung fungsi TI untuk memberikan layanan dan kinerja yang diharapkan[4].

Menurut IT Governance Institute, ketika melihat hasil bisnis dari Governance of Enterprise IT (GEIT), perusahaan yang telah menerapkan COBIT 5 mengalami peningkatan manajemen risiko yang berkaitan dengan TI, meningkatkan komunikasi dan hubungan antara bisnis dengan TI, menurunkan biaya TI, meningkatkan penyampaian tujuan bisnis dan meningkatkan daya saing TI[8].

2.4.1 Prinsip COBIT 5

COBIT 5 memiliki 5 prinsip untuk tata kelola dan manajemen seperti pada gambar 2.2.

8

Gambar 2. 2. Prinsip COBIT 5 (COBIT 5:2012)

Kelima prinsip tersebut ialah[4]: 1. Memenuhi kebutuhan stakeholder

Enterprise ada untuk menciptakan nilai bagi stakeholder. Sistem governance harus mempertimbangkan stakeholder dalam menentukan keputusan mengenai manfaat, sumber daya dan penilaian risiko seperti terlihat pada gambar 2.3. Dalam hal ini perlu diketahui siapa yang akan memperoleh manfaat, siapa yang akan menghadapi risiko dan sumber daya apa yang dibutuhkan?

9 Berikut ini penjelasan mengenai objektif tata kelola terkait penciptaan nilai: a. Benefits realization memastikan bahwa investasi TI dikelola untuk

menghasilkan keuntungan yang optimal dimana hasil kesadaran terkait benefit dan pengukuran kinerja ditetapkan dan dievaluasi serta progresnya dilaporkan kepada stakeholder[6]. Tugas-tugas terkait benefit realization ditunjukkan pada tabel 2.7.

Tabel 2. 1 Benefit Realization (ISACA:Mapping COBIT)

No. Tugas

Kunci Proses COBIT yang

relevan

Enabler kunci spesifik

lainnya 1 Memastikan bahwa investasi

IT-enabled dikelola sebagai portofolio investasi.

EDM02, APO05

2 Pastikan bahwa investasi IT-enabled

dikelola melalui life cycle

ekonominya untuk mencapai manfaat bisnis.

EDM02, EDM05, APO05, MEA01-03, BAI05,BAI01 3 Pastikan kepemilikan usaha dan

akuntabilitas untuk investasi IT-enabled ditetapkan.

EDM02, APO05, APO08-09

Struktur organisasi dan budaya

4 Memastikan bahwa praktik pengelolaan investasi TI selaras dengan praktek pengelolaan investasi perusahaan.

APO05-06

5 Pastikan bahwa TI memungkinkan portofolio investasi, proses TI dan layanan TI dievaluasi dan

dibandingkan untuk mencapai manfaat bisnis.

APO05, APO09, MEA01

6 Pastikan bahwa hasil dan pengukuran kinerja telah ditetapkan dan

dievaluasi untuk menilai kemajuan ke arah pencapaian tujuan

perusahaan dan tujuan IT.

MEA01,EDM05

7 Pastikan bahwa hasil dan pengukuran kinerja dipantau dan dilaporkan kepada pemangku kepentingan secara tepat waktu.

EDM05,MEA01

8 Memastikan bahwa tindakan perbaikan diidentifikasi, diprioritaskan, diprakarsai dan

APO11, MEA01, APO04

(tergantung

Budaya, Etika dan Perilaku

10

No. Tugas

Kunci Proses COBIT yang

relevan

Enabler kunci spesifik

lainnya dikelola berdasarkan pada hasil dan

pengukuran kinerja.

bagaimana perbaikan yang ditetapkan)

Catatan: Umumnya semua enabler mungkin relevan untuk beberapa tingkat dan harus dipertimbangkan.

b. Risk optimization memastikan bahwa manajemen risiko TI ada untuk mengidentifikasi, menganalisis, memitigasi, mengelola, memantau dan mengkomunikasikan risiko bisnis terkait TI dan kerangka kerja manajemen risiko TI selaras dengan kerangka kerja manajemen risiko enterprise[6]. Tugas-tugas terkait risk optimization ditunjukkan pada tabel 2.8.

Tabel 2.2 Risk Optimization (ISACA: Mapping COBIT)

No. Tugas

Kunci Proses COBIT yang

relevan

Enabler kunci spesifik lainnya 1 Pastikan proses manajemen risiko TI

yang komprehensif ditetapkan untuk mengidentifikasi, menganalisis, memitigasi, mengelola, memonitor, dan mengkomunikasikan risiko TI.

EDM03,APO12

2 Pastikan bahwa persyaratan

kepatuhan hukum dan peraturan yang ditangani melalui manajemen risiko TI.

EDM03,MEA03, APO12, BAI01

3 Memastikan bahwa risiko manajemen TI sejalan dengan kerangka kerja manajemen risiko perusahaan (ERM).

APO12

4 Pastikan dukungan tingkat

manajemen senior yang sesuai untuk manajemen risiko TI.

EDM03, APO12 Struktur Organisasi, Manusia, Budaya, Keterampilan

11

No. Tugas

Kunci Proses COBIT yang relevan Enabler kunci spesifik lainnya dan Kompetensi 5 Memastikan bahwa kebijakan

manajemen risiko TI, prosedur dan standar dikembangkan dan

dikomunikasikan.

EDM03, APO12 Prinsip, Kebijakan dan Kerangka Kerja 6 Pastikan identifikasi indikator risiko

utama.

APO12 7 Pastikan pelaporan yang tepat waktu

dan eskalasi yang tepat terkait peristiwa risiko dan respon untuk manajemen yang tepat.

EDM03, APO12, MEA02, EDM05

Catatan: Umumnya semua enabler mungkin relevan untuk beberapa tingkat dan harus dipertimbangkan.

c. Resource optimization akan memastikan optimasi sumber daya TI yang mencakup informasi, layanan, infrastruktur dan aplikasi, dan manusia untuk mendukung pencapaian tujuan-tujuan enterprise[6]. Tugas-tugas terkait resource realization ditunjukkan pada tabel 2.9.

Tabel 2.3 Resource Optimization (ISACA: Mapping COBIT)

No. Tugas

Kunci Proses COBIT yang relevan Enabler kunci spesifik lainnya 1 Pastikan bahwa proses ditempatkan

untuk mengidentifikasi, memperoleh dan memelihara sumber daya TI dan kemampuan (informasi, jasa, infrastruktur dan aplikasi, dan orang-orang).

APO1 dan

kebanyakan proses APO lainnya.

2 Mengevaluasi, mengarahkan dan memonitor strategi sourcing untuk memastikan bahwa sumber daya yang ada diperhitungkan untuk

mengoptimalkan pemanfaatan sumber daya TI.

EDM04-05

12 sumber daya TI ke dalam

perencanaan strategis dan taktis perusahaan.

BAI01, APO05-06

4 Pastikan penyelarasan proses manajemen sumber daya TI dengan proses pengelolaan sumber daya perusahaan.

EDM04, APO09, APO10, APO06

5 Pastikan bahwa proses analisis kesenjangan sumber daya ditempatkan sehingga TI dapat memenuhi tujuan strategis perusahaan.

MEA01-03, EDM05

6 Memastikan bahwa kebijakan yang ada adalah untuk membimbing strategi sourcing sumber daya TI yang mencakup perjanjian tingkat layanan (SLA) dan perubahan strategi

sourcing.

EDM04, APO09, APO10

7 Memastikan bahwa kebijakan dan proses ditempatkan untuk penilaian, pelatihan dan pengembangan staf untuk mengatasi kebutuhan perusahaan dan pertumbuhan pribadi/profesional.

APO07 Manusia,

Keterampilan dan

Kompetensi

Catatan: Umumnya semua enabler mungkin relevan untuk beberapa tingkat dan harus dipertimbangkan.

Perusahaan memiliki banyak pemangku kepentingan, sehingga 'penciptaan nilai' dari masing-masing stakeholder dapat berbeda-beda, dan kadang-kadang bertentangan. Governance disini adalah tentang negosiasi dan memutuskan antara kepentingan nilai stakeholder yang berbeda. Komponen optimasi risiko terkait penciptaan nilai menunjukkan bahwa:

1.

Optimasi Risiko merupakan bagian penting dari setiap sistem tata

13

2.

Optimasi Risiko tidak dapat dilihat secara terpisah, yaitu, tindakan yang diambil sebagai bagian dari manajemen risiko akan mempengaruhi realisasi manfaat dan optimalisasi sumber daya

Kebutuhan stakeholder harus diubah menjadi strategi yang dapat ditindaklanjuti. Tujuan COBIT kaskade adalah mekanisme untuk mewujudkan kebutuhan stakeholder menjadi tujuan perusahaan, ditindaklanjuti dan disesuaikan, tujuan yang berkaitan dengan IT dan tujuan enabler. Hal ini memungkinkan menetapkan tujuan yang spesifik di setiap tingkatan dan di setiap area perusahaan untuk mendukung tujuan-tujuan dan kebutuhan stakeholder. Setiap keputusan harus dapat menjawab siapa yang menerima manfaatnya, siapa yang menanggung risiko, dan sumber daya apa yang dibutuhkan[4].

Langkah pertama dalam COBIT kaskade pada gambar 2.4 ialah adanya pendorong yang mempengaruhi kebutuhan stakeholder. Kebutuhan stakeholder dipengaruhi oleh sejumlah pendorong, seperti perubahan strategi, bisnis yang berubah dan lingkungan peraturan, dan teknologi baru. Langkah kedua, yaitu kaskade stakeholder kebutuhan untuk tujuan perusahaan. Kebutuhan stakeholder dapat berhubungan dengan serangkaian tujuan perusahaan. Tujuan-tujuan perusahaan telah dikembangkan dengan menggunakan balanced scorecard (BSC) 1 dimensi, dan mereka mewakili daftar tujuan yang umum digunakan perusahaan. Meskipun daftar ini tidak lengkap, banyak tujuan perusahaan dapat dipetakan dengan mudah ke salah satu atau lebih dari tujuan perusahaan.

14

Gambar 2. 4. COBIT 5 Goals Cascade (COBIT 5:2012)

Manfaat COBIT 5 kaskade, yaitu memungkinkan penetapan prioritas pelaksanaan, perbaikan dan jaminan perusahaan tata kelola TI berdasarkan (strategis) tujuan dari perusahaan dan risiko terkait. Dalam praktiknya, tujuan kaskade[2]:

a. Mendefinisikan tujuan dan sasaran yang relevan dan nyata di berbagai tingkatan tanggung jawab.

b. Memfilter basis pengetahuan COBIT 5, berdasarkan pada tujuan perusahaan untuk mengekstrak panduan yang relevan untuk dimasukkan dalam proyek implementasi, perbaikan atau jaminan tertentu.

15 c. Mengidentifikasi dan berkomunikasi dengan jelas bagaimana enabler

penting untuk mencapai tujuan perusahaan.

COBIT 5 mendefinisikan 17 tujuan umum, seperti yang ditunjukkan pada tabel 3.1, yang mencakup informasi dimensi BSC di mana tujuan perusahaan sesuai, tujuan perusahaan (enterprise goal), hubungan ketiga tujuan tata kelola (manfaat, optimasi risiko dan optimalisasi sumber daya)[3].

Tabel 2. 4. Enterprise Goal (COBIT:2012)

BSC Dimension

Enterprise Goal Relation to Governane Objectives Benefits realisation Risk optimation Resource optimation Financial

1. Stakeholder value of business investment

P S

2. Portofolio of competitive products and services

P P S

3. Managed business risk (safeguarding of assets)

P S

4. Compliance with external laws and regulations

P

5. Financial transparency P S S

Ccustomer

6. Customer-oriented service culture

P S

7. Business service

continuity and availability

P 8. Agile reponse to a

changing business environment

P S

9. Information-based strategic decision making

P P P

10. Optimisation of service delivery costs

P P

Internal

11. Optimisation of business process functionality

P P

12. Optimisation of business process costs

P P

13. Managed business change programmes

P P S

16

BSC Dimension

Enterprise Goal Relation to Governane Objectives Benefits

realisation

Risk optimation

Resource optimation productivity

15. Compliance with internal policies

P

Learning and growth

16. Skilled and motivated people

S P P

17. Product and business innovation culture

P

Hubungan 'P' menunjukkan hubungan primer dan 'S' untuk hubungan sekunder, yaitu hubungan kurang kuat.

2. Mencakup end-to-end enterprise

COBIT 5 menangani tata kelola dan manajemen terkait TI dari perspektif end-to-end. COBIT 5 mengintegrasikan tata kelola Enterprise IT (EIT) ke dalam tata kelolaenterprise. COBIT 5 tidak hanya fokus pada fungsi TI tapi menganggap TI sebagai aset seperti aset lain dalam perusahaan.

3. Mengaplikasikan framework tunggal yang terintegrasi

Kebanyakan standar TI terkait dan praktik terbaik hanya mengatasi bagian tertentu dari kegiatan TI, COBIT sejalan dengan standar lain dan framework yang relevan, seperti COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 yang berhubungan dengan enterprise sedangkan yang berhubungan dengan TI, seperti ISO/IEC 38500, ITIL, ISO/IEC seri 27000, TOGAF, PMBOK/PRINCE 2 dan CMMI. Hal ini memungkinkan enterprise untuk menggunakan COBIT 5 sebagai framework menyeluruh untuk tata kelola dan manajemen EIT.

17 4. Pendekatan yang holistik

Tata kelolayang efektif dan manajemen EIT membutuhkan pendekatan TI secara menyeluruh. COBIT 5 mengimplementasikan tata kelola yang komprehensif dan manajemen EIT melalui enabler. Enabler adalah hal-hal yang memungkinkan perusahaan mencapai tujuannya. COBIT 5 membagi enabler tersebut kedalam 7 kategori, seperti pada Gambar 2.3.

a. Proses - menggambarkan praktik dan aktivitas yang dikelola untuk mencapai tujuan dan menghasilkan output dalam mendukung tujuan terkait TI.

b. Struktur Organisasi - entitas pengambilan keputusan penting dalam organisasi.

Gambar 2. 5. Tujuh Kategori Enabler (COBIT 5:2012)

c. Budaya, etika dan perilaku - merupakan faktor kesuksesan tata kelola dan manajemen yang seringkali diremehkan.

18 d. Prinsip, peraturan dan kerangka kerja - sebagai alat untuk menyampaikan tata cara yang diinginkan melalui panduan praktik untuk manajemen sehari-hari.

e. Informasi - dibutuhkan agar organisasi tetap berjalan dan dikelola dengan baik. Namun pada level operasional, informasi merupakan produk kunci dari enterprise itu sendiri.

f. Layanan, infrastruktur dan aplikasi - termasuk infrastruktur, teknologi dan aplikasi yang memberikan layanan dan proses TI bagi enterprise. g. Manusia, keterampilan dan kompetensi - berhubungan dengan manusia

dan dibutuhkan untuk kesuksesan segala aktivitas serta untuk pengambilan tindakan dan keputusan yang tepat.

5. Memisahkan tata kelola dari manajemen

COBIT 5 membuat perbedaan yang jelas antara tata kelola dan manajemen. Hubungan keduanya terlihat pada gambar 2.4. Keduanya mencakup aktivitas, kebutuhan struktur organisasi dan tujuan yang berbeda.

19 Secara umum tata kelola merupakan tanggung jawab direksi di bawah pimpinan sedangkan manajemen adalah tanggung jawab eksekutif manajemen dimana berada di bawah kepimpinan CEO.

Berdasarkan gambar 2.4,tata kelola memastikan kebutuhan stakeholder, kondisi dan pilihan dievaluasi (evaluatued) untuk menentukan keseimbangan, tujuan enterprise dicapai, menentukan arahan (direction) melalui prioritasisasi dan pengambilan keputusan serta memantau (monitoring) kinerja dan kepatuhan terhadap arahan dan tujuan yang telah ditetapkan.

Manajemen terdiri dari aktivitas perencanaan (plans), membangun (builds), menjalankan (runs) dan pemantauan (monitors) yang diselaraskan dengan arahan yang telah ditentukan tata kelola untuk mencapai tujuan enterprise.

2.4.2 Domain dan Proses COBIT 5

COBIT 5 memiliki 5 domain yang terbagi ke dalam domain tata kelola dan manajemen. Setiap domain memilikki proses yang membantu dalam mencapai tujuan. Satu domain menangani tata kelola dan 4 domain mencakup area manjemen. Domain tata kelola, yaitu Evaluate, Direct dan Monitor (EDM). Domain manajemen terdiri 4 area, yaitu :

1. Align, Plan and Organize (APO) : 13 proses 2. Build, Acquire and Implement (BAI) : 10 proses 3. Deliver, Service and Support (DSS) : 6 proses 4. Monitor, Evaluate and Assess (MEA) : 3 proses

20 2.4.2.1Governance EIT

Area governance terdiri dari 5 proses, yaitu EDM01 Memastikan Pengaturan Kerangka Kerja Tata Kelola dan Pemeliharaan, EDM02 Memastikan Penyampaian Manfaat, EDM03 Optimasisasi Risiko, EDM04 Optimasisasi Sumber Daya dan EDM05 Transparansi Stakeholder[3].

2.4.2.2 Manajemen EIT

Area manajemen terdiri dari empat domain, yaitu Align, Plan and Organize (APO), Build, Acquire and Implement (BAI), Deliver, Service and Support (DSS), dan Monitor, Evaluate and Assess (MEA)[3].

1. Align, Plan and Organize (APO)

Align, Plan and Organizemencakup penggunaan informasi dan teknologi dan bagaimana cara terbaik penggunaan informasi dan teknologi dalam sebuah organisasi untuk membantu mencapai tujuan dan sasaran organisasi. Domain ini jugamelihat bentuk organisasi dan infrastruktur TI dalam rangka untuk mencapai hasil yang optimal dan menghasilkan manfaat paling dari penggunaan TI.

Tabel 2. 5Align, Plan and Organize (COBIT 5:2012)

Proses Deskripsi

APO01 Mengelola framework manajemen TI APO02 Mengelola strategi

APO03 Mengelola arsitektur enterprise APO04 Mengelola inovasi

APO05 Mengelola portofolio

APO06 Mengelola anggaran dan biaya APO07 Mengelola hubungan manusia APO08 Mengelola hubungan

APO09 Mengelola service agreement

APO10 Mengelola pemasok APO11 Mengelola kualitas APO12 Mengelola risiko APO13 Mengelola keamanan

21 2. Build, Acquire and Implement (BAI)

Build, Acquire and Implementmeliputi identifikasi kebutuhan TI, penguasaan teknologi, dan pengimplementasiannya dalam proses bisnis perusahaan saat ini.

Tabel 2. 6Build, Acquire and Implement (COBIT 5:2012)

Proses Deskripsi

BAI01 Mengelola program dan proyek BAI02 Mengelola penetapan kebutuhan

BAI03 Mengelola identifikasi solusi dan membangun BAI04 Mengelola ketersediaan dan kapasitas

BAI05 Mengelola pemberdayaan perubahan organisasi BAI06 Mengelola perubahan

BAI07 Mengelola penerimaan perubahan dan masa peralihan BAI08 Mengelola pengetahuan

BAI09 Mengelola aset BAI10 Mengelola konfigurasi

3. Deliver, Service and Support (DSS)

Deliver, Service and Supportberfokus pada aspek penyampaian teknologi informasi. Ini mencakup bidang-bidang seperti eksekusi aplikasi di dalam sistem TI dan hasil-hasilnya, serta proses pendukung yang memungkinkan pelaksanaan sistem TI yang efektif dan efisien seperti pada tabel 2.4.

Tabel 2. 7Deliver, Service and Support (COBIT 5:2012)

Proses Deskripsi

DSS01 Mengelola operasi

DSS02 Mengelola layanan permintaan dan insiden DSS03 Mengelola masalah

DSS04 Mengelola keberlangsungan DSS05 Mengelola layanan keamanan

22 4. Monitor, Evaluate and Assess(MEA)

Monitor, Evaluate and Assess berhubungan dengan strategi perusahaan dalam menilai kebutuhan perusahaan dan menilai apakah sistem TI saat ini masih memenuhi tujuan yang sudah dirancang dan pengendalian yang diperlukan untuk memenuhi regulasi persyaratan. Seperti yang terlihat pada tabel 2.5, pemantauan juga mencakup masalah penilaian independen terhadap kemampuan efektivitas sistem TI untuk memenuhi tujuan bisnis dan proses-prosespengendalian perusahaan oleh auditor internal dan eksternal.

Tabel 2. 8Monitor, Evaluate and Assess (COBIT 5:2012)

Proses Deskripsi

MEA01 Memantau, mengevaluasi dan menilai kinerja dan kesesuaian MEA02 Memantau, mengevaluasi dan menilai sistem pengendalian internal MEA03 Mengevaluasi dan menilai kepatuhan dengan persyaratan eksternal

2.4.3 Process Capability Model

ISO 15504-2 menetapkan framework pengukuran untuk penilaian kapabilitas proses COBIT 5. Kapabilitas proses terdiri dari 6 skala poin yang dimulai dari 0 sampai 5 seperti pada tabel 2.6. Skala ini merepresentasikan peningkatan kapabilitas proses yang diimplementasikan, dari proses yang belum mencapai tujuan sampai proses yang memenuhi tujuan bisnis saat ini dan yang akan datang[5].

Tabel 2. 9 Skala Kapabilitas (COBIT 5:2012)

Skala Keterangan

Level 0

Incomplete process

Proses tidak diimplementasikan atau gagal mencapai tujuan proses. Pada level ini, ada sedikit atau bahkan tidak ada bukti akan pencapaian tujuan proses.

Level 1

Perfomed process

Proses yang diimplementasikan mencapai tujuan prosesnya.

23

Skala Keterangan

Managed process dimonitor dan disesuaikan) dan hasilnya ditetapkan, dikontrol dan dipelihara.

Level 3

Established process

Proses yang dikelola, diimplementasikan dengan menggunakan proses yang ditetapkan, yang mampu mencapai hasil proses.

Level 4

Predictable process

Proses yang ditetapkan, dioperasikan dengan batasan yang ditetapkan untuk mencapai hasil proses.

Level 5

Optimizing process

Proses yang dapat diprediksi ditingkatkan secara kontinu untuk memenuhi tujuan bisnis saat ini dan masa yang akan datang.

Berikut ini penjelasan mengenai tabel 2.6: 1. Level 1 – Performed Process

Pada level ini menentukan apakah suatu proses mencapai tujuannya. Ketentuan atribut proses pada level 1 adalah sebagai berikut :

a. PA 1.1 Process Performance

Pengukuran mengenai seberapa jauh tujuan dari suatu proses berhasil diraih. Pencapaian penuh atas atribut ini mengakibarkan proses tersebut meraih tujuan yang sudah ditentukan, seperti pada Tabel 2.7.

Tabel 2. 10Process Performance (COBIT 5:2012)

PA 1.1 Process Perfomance Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

Proses meraih tujuan yang sudah ditentukan

GP 1.1.1 Meraih Hasil Proses.

Adanya bukti bahwa praktik-praktik dasar dilakukan

Hasil kerja (work product) telah dibuat sehingga menyediakan bukti atas hasil proses.

2. Level 2 – Managed Process

Performa proses pada tahap ini mencakup perencanaan, monitor dan penyesuaian. Work products dijalankan, dikontrol, dikelola dengan tepat. Ketentuan atribut proses pada level 2 seperti pada tabel 2.8 dan tabel 2.9.

24 a. PA 2.1 Performance Management

Mengukur sejauh mana kinerja proses dikelola.

Tabel 2. 11 Performance Management (COBIT 5:2012)

PA 2.1 Perfomance Management

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

Tujuan performa dari proses teridentifikasi

GP 2.1.1 Mengidentifikasi tujuan performa dari proses. Tujuan performa

digabungkan dengan asumsi dan batasan dan

dikomunikasikan

GWP 1.0 Dokumentasi Proses harus menguraikan lingkup proses.

GWP 2.0 Rencana proses harus menyediakan detail tujuan performa proses. Perfoma dari proses

direncanakan dan dimonitor

GP 2.1.2 Merencanakan dan memonitor performa proses untuk memenuhi objektif yang telah ditentukan. Dasar mengukur perfoma proses yang berhubungan dengan tujuan bisnis ditetapkan dan dimonitor. Termasuk di dalam dasar tersebut adalah key milestone, aktivitas-aktivitas yang diperlukan, estimasi dan jadwal.

GWP 2.0 Rencana proses harus menggambarkan secara detail tujuan performa proses. GWP 9.0 Catatan

performan proses haruslah menggambarkan hasil yang detail.

Catatan: pada level ini, setiap catatan performa proses dapat berbentuk laporan, daftar masalah dan catatan informal.

Perfoma dari proses disesuaikan untuk memenuhi perencanaan

GP 2.1.3 Menyesuaikan performa dari proses. Mengambil tindakan ketika performa yang

direncanakan tidak tercapai. Tindakan meliputi

identifikasi dari masalah performa dan penyesuaian rencana dan jadwal menjadi lebih sesuai

GWP 4.0 Catatan kualitas. Harus menyediakan detail tindakan yang dilakukan ketika perfoma tidak mencapai target.

Tanggung jawab dan otoritas dari melakukan proses didefinisikan, ditugaskan dan dikomunikasikan

GP 2.1.4 Mendefiniksikan tanggung jawab dan otoritas dalam melakukan proses. Tanggung jawab kunci dan otoritas dalam menjalankan aktivitas kunci dari proses didefinisikan, ditugaskan dan dikomunikasikan. Begitu pula dengan pengalaman, pengetahuan dan keahlian yang

dibutuhkan.

GWP 1.0 Dokumentasi proses harus menyediakan detail dari pemilik proses dan siapa saja yang terlibat, bertanggung jawab,

dikonsultasikan dan/atau diinformasikan (RACI). GWP 2.0 Rencana proses harus meliputi detail dari

process communication plan demikian juga pengalaman dan keahlian

25 PA 2.1 Perfomance Management

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

yang dibutuhkan dari menjalankan proses. Sumber daya dan informasi

yang dibutuhkan untuk menjalankan proses didefinisikan, disediakan, dialokasikan dan digunakan

GP 2.1.5 Identifikasi dan menyediakan sumber daya untuk melakukan proses sesuai dengan rencana. Sumber daya dan informasi yang dibutuhkan untuk menjalankan aktivitas kunci dari proses diidentifikasi, disediakan, dialokasikan dan digunakan.

GWP 2.0 Rencana proses harus menyediakan detail dari proses perencanaan pelatihan dan proses perencanaan sumber daya.

Antarmuka antara pihak yang terlibat dikelola untuk memastikan komunikasi efektif dan tugas yang jelas antar pihak yang terlibat

GP 2.1.6 Mengelola antarmuka antar pihak yang terlibat. Individu dan grup yang terlibat dengan proses diidentifikasi, tanggung jawab didefinisikan dan mekanisme komunikasi yang efektif diterapkan.

GWP 1.0 Dokumentasi proses harus menyediakan detail individu dan grup yang terlibat (pemasok, pelanggan dan RACI). GWP 2.0 Rencana proses harus menyediakan detail

process communication plan.

b. PA 2.2 Work Product Management

Mengukur sejauh mana work product yang dihasilkan oleh proses yang dikelola. Work product yang dimaksud adalah hasil dari proses. Sebagai hasil pencapaian penuh atribut ini, ditunjukkan dalam tabel 2.9.

Tabel 2. 12Work Product Management (COBIT 5:2012)

PA 2.1 Work Product Management

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

Kebutuhan akan hasil kerja proses

GP 2.2.1 Menetapkan kebutuhan untuk kerja, meliputi struktur isi dan kriteria kualitas.

GWP 3.0 Rencana kualitas harus menyediakan detail dari kriteria kualitas dan isi dari hasil kerja.

Kebutuhan untuk dokumentasi dan kontrol hasil kerja telah ditetapkan

GP 2.2.2 Menetapkan kebutuhan dari dukomentasi dan kontrol hasil kerja. Ini harus meliputi identifikasi dari ketergantungan, persetujuan dan kemudahan

GWP 1.0 Dokumentasi proses harus menyediakan detail dari kontrol (matriks kontrol).

GWP 3.0 Rencana kualitas harus menyediakan detail

26 PA 2.1 Work Product Management

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

dalam melacak kebutuhan. dari hasil kerja, kriteria kualitas, dokumentasi yang dibutuhkan dan kontrol perubahan.

Hasil kerja diidentifikasi dengan baik,

didokumentasikan dan dikontrol

GP 2.2.3 Identifikasi dokumentasi dan kontrol hasil kerja. Hasil kerja adalah subjek dari kontrol perubahan, begitu juga dengan perubahan versi dan manajemen konfigurasi.

GWP 3.0 Rencana kualitas harus menyediakan detail hasil kerja, kriteria kualiatas, keutuhan dokumentasi dan kontrol perubahan.

Hasil kerja diulas kembali sesuai dengan rencana pengaturan dan disesuaikan dengan kebutuhan untuk mencapsi kebutuhan

GP 2.2.4 Mengulas kembali dan menyesuaikan hasil kerja untuk memenuhi kebutuhan yang telah diidentifikasikan. Hasil kerja adalah subjek terdapat kebutuhan yang disesuaikan dengan pengaturan yang direncanakan dan isu-isu lain yang muncul diselesaikan.

GWP 4.0 Catatan kualitas harus menyediakan jejak audit pengulasan kembali yang telah dilakukan.

3. Level 3 – Established Process

Proses yang telah dibangun kemudian diimplementasikan menggunakan proses yang telah didefinisikan yang mampu untuk mencapai hasil dari proses.

Ketentuan atribut proses pada level 3 adalah sebagai berikut: a. PA 3.1 Process Definition

Mengukur sejauh mana proses standar dikelola untuk mendukung pengerjaan proses yang telah didefinisikan. Sebagai hasil pencapaian penuh atribut ini, ditunjukkan pada tabel 2.10.

27

Tabel 2. 13Process Definition (COBIT 5:2012)

PA 3.1 Process Definition

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

Proses standar, meliputi panduan dasar yang layak, didefinisikan sehingga mendeskripsikan elemen fundamentalyang harus ada dalam proses yang

didefinisi

GP 3.1.1 Mendefinisikan standar dari proses yang menudkung pengerjaan dari proses yang telah

didefinisikan. Sebuah proses standar didefinisikan elemen proses fundamental dan menyediakan panduan implementasi dan panduan tentang bagaimana standar tersebut dapat diubah saat dibutuhkan.

GWP 5.0 Kebijakan dan standar harus menyediakan detail dan kompetensi dari proses yang dilakukan. Bukti yang diperlukan pada level ini bukan hanya pada adanya kebijakan dan standar tapi juga dengan diterapkannya kebijakan dan standar tersebut.

Urutan dan interaksi dari proses standar dengan proses lainnya sudah ditetapkan

GP 3.1.2 Menetapkan urutan dan interaksi antar proses sehingga dapat bekerja sebagai sistem yang terintegrasi dalam proses. Urutan standar proses dan interaksi dengan proses lain ditentukan dan dikelola ketika sebuah proses diimplementasikan pada bagian lain dalam organisasi.

GWP 5.0 Kebijakan dan standar harus menyediakan detail dan kompetensi dari proses yang dilakukan. Bukti yang diperlukan pada level ini bukan hanya pada adanya kebijakan dan standar tapi juga dengan diterapkannya kebijakan dan standar tersebut.

Kompetensi yang

dibutuhkan dan peran untuk melakukan proses

diidentifikasi sebagai bagain dari proses standar

GP 3.1.3 Mengidentifikasi peran dan kompetensi menjalankan proses standar.

GWP 5.0 Kebijakan dan standar harus menyediakan detail dan kompetensi dari proses yang dilakukan. Bukti yang diperlukan pada level ini bukan hanya pada adanya kebijakan dan standar tapi juga dengan diterapkannya kebijakan dan standar tersebut. Infrastruktur yang

diperlukan dan lingkungan kerja yang dibutuhkan untuk melakukan proses diidentifikasi sebagai bagian dari proses standar

GP 3.1.4 Identifikasi infrastuktur yang

dibutuhkan dan lingkungan kerja untuk melakukan proses standar. Infrastruktur (fasilitas, alat, metode, dan lain-lain) dan lingkungan kerja untuk melakukan proses standar sudah diidentifikasikan.

GWP 5.0 Kebijakan dan standar harus

mengindentifikasi kebutuhan minimum dari infrastruktur dan

lingkungan kerja untuk melakukan proses. Bukti yang diperlukan pada level ini bukan hanya pada adanya kebijakan dan standar tapi juga dengan diterapkannya kebijakan

28 PA 3.1 Process Definition

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

dan standar tersebut. Metode yang sesuai untuk

monitoring keefektifan dan kesesuaian dari proses sudah ditetapkan

GP 3.1.5 Menetapkan metode yang sesuai untuk memantau keefektifan dan kesesuaian dengan proses standar, meliputi kriteria yang layak dan data yang dibutuhkan untuk

memantau keefektifan dan kesesuaian dari proses yang didefinisikan, dan

menetapkan kebutuhan untuk melakukan audit internal dan review

manajemen.

GWP 5.0 Kebijakan dan standar harus menyediakan detail dan kompetensi dari proses yang dilakukan. Bukti yang diperlukan pada level ini bukan hanya pada adanya kebijakan dan standar tapi juga dengan diterapkannya kebijakan dan standar tersebut. GWP 4.0 Catatan kualitas dan GWP 9.0 Catatan performa proses harus menyediakan bukti dari

review yang dilakukan untuk setiap instansi dari proses.

b. PA 3.2 Process Deployment

Mengukur sejauh mana proses standar secara efektif telah dijalankan seperti proses yang telah didefinisikan untuk mencapai hasil dari proses. Sebagai hasil pencapaian penuh atribur ini dapat dilihat pada tabel 2.11.

Tabel 2. 14Process Deployment (COBIT 5:2012)

PA 3.2 Process Deployment

Hasil atau pencaipain penuh

atribut Generic Practices Generic Work Products

Sebuah proses yang telah didefinisikan dijalankan berdasarkan standar proses yang telah ditentukan

GP 3.2.1 Menjalankan sebuah proses yang telah didefinisikan yang

memuaskan konteks. Ketika proses yang sama

digunakan pada area yang berbeda pada organisasi, proses tersebut dilakukan berdasarkan proses standar, diatur selayak mungkin, dengan konformasi pada

GWP 5.0 Kebijakan dan standar harus menyediakan detail dan kompetensi dari proses yang dilakukan. Bukti yang diperlukan pada level ini bukan hanya pada adanya kebijakan dan standar tapi juga dengan diterapkannya kebijakan dan standar tersebut.

29 PA 3.2 Process Deployment

Hasil atau pencaipain penuh

atribut Generic Practices Generic Work Products

kebutuhan yang telah didefinisikan pada proses yang telah diverifikasi. Peran yang dibutuhkan,

tanggung jawab dan otoritas yang dibutuhkan untuk menjalankan proses yang telah didefinisikan ditugaskan dan dikomunikasikan

GP 3.2.2 Menugaskan dan mengkomunikasikan peran, tanggung jawab dan otoritas untuk menjalankan proses yang telah didefinisikan. Ketika proses yang sama digunakan pada area yang berbeda dalam organisasi. Otoritas dan peran untuk melakukan aktivitas dari proses telah ditugaskan dan dikomunikasikan.

GWP 5.0 Kebijakan dan standar harus menyediakan detail dan kompetensi dari proses yang dilakukan. Bukti yang diperlukan pada level ini bukan hanya pada adanya kebijakan dan standar tapi juga dengan diterapkannya kebijakan dan standar tersebut.

Personil yang melakukan proses yang didefinisikan kompeten dalam basis edukasi, pelatihan dan pengalaman yang sesuai.

GP.3.2.3 Memastikan kompetensi yang dibutuhkan untuk

melaksanakan proses yang ditetapkan.

GWP 1.0 Dokumentasi proses harus menyediakan detail kebutuhan training

dan kompetensi.

GWP 2.0 Rencana proses harus meliputi detail dari proses infrastruktur dan lingkungan kerja dari setiap instansi dari proses.

Sumber daya yang dibutuhkan dan informasi yangn diperlukan untuk melakukan proses yang didefinisikan disediakan, dialokasikan dan digunakan

GP 3.2.4 Menyediakan sumber daya dan informasi untuk mendukung performa dari proses yang

didefinisikan. Ketika proses yang sama digunakan dalam area yang berbeda dalam organisasi, kompetensi yang layak untuk personil yang ditugaskan diidentifikasikan dan pelatihan yang sesuai disediakan untuk

menjalankan proses yang telah disediakan,

dialokasikan dan digunakan.

GWP 2.0 Rencana proses harus meliputi detail dari proses infrastruktur dan lingkungan kerja dari setiap instansi dari proses.

Infrastruktur dan lingkungan kerja untuk melakukan proses yang didefinisikan telah disediakan, dikelola dan dipelihara

GP 3.2.5 Menyediakan proses infrastruktur yang layak untuk mendukung performa dari proses yang didefiniskan. Ketika proses yang sama digunakan dalam area yang berbeda dalam

GWP 2.0 Rencana proses harus meliputi detail dari proses infrastruktur dan lingkungan kerja dari setiap instansi dari proses.

30 PA 3.2 Process Deployment

Hasil atau pencaipain penuh

atribut Generic Practices Generic Work Products

organisasi, dukungan organisasi yang dibutuhkan, infrastruktur dan

lingkungan kerja

disediakan, dialokasikan dan digunakan.

Data yang layak

dikumpulkan dan dianalisis sebagai dasar untuk

mengerti tingkah laku dari proses untuk

mendemonstrasikan

kecocokkan dan ekefektifan dan mengevaluasi dimana perbaikan proses secara terus-menerus dapat dilakukan.

GP 3.2.6 Mengumpulkan data menganalisis data mengenai performa dari proses untuk

mendemonstrasikan kecocokkan dan kefektifan. Data yang dibutuhkan untuk memantau kefektifan dan kesesuaian dari proses diseluruh organisasi didefiniskan, dikumpulkan dan dianalisis sebagai dasar dari perbaikan terus-menerus.

GWP 4.0 Catatan kualitas dan GWP 9.0 Catatan performa proses harus menyediakan bukti dari

review yang dilakukan untuk setiap instansi dari proses.

4. Level 4 – Predictable Process

Proses yang telah dibangun kemudian dioperasikan dengan batasan-batasan agar mampu meraih harapan dari proses tersebut.

Ketentuan atribut proses pada level 4 adalah sebagai berikut: a. PA 4.1 Process Measurement

Pengukuran mengenai seberapa jauh hasil pengukuran digunakan untuk memastikan bahwa performa proses mendukung pencapaian tujuan proses untuk mendukung tujuan perusahaan. Pengukuran bisa berupa pengukuran proses ataupun pengukuran produk atau kedua-duanya. Hasil pencapaian atribut ini dapat dilihat pada tabel 2.12.

31

Tabel 2. 15 Process Measurement (COBIT 5:2012)

PA 4.2 Process Measurement

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

Informasi yang dibutuhkan proses untuk mendukung tujuan bisnis telah ditetapkan.

GP 4.1.1 Identifikasi kebutuhan informasi dalam hubungannya dengan tujuan bisnis. Tujuan bisnis dan informasi yang dibutuhkan pemegang kepentingan telah ditetapkan sebagai dasar untukmenentukan tujuan pengukuran proses.

GWP 6.0 Rencana peningkatan proses harus menyediakan tujuan peningkatan proses dan menyarankan tindakan peningkatan.

Tujuan pengukuran proses didapatkan dari kebutuhan informasi

GP 4.1.2 Memperoleh tujuan pengukuran proses dari kebutuhan informasi.

GWP 7.0 Rencana pengukuran proses harus menyediakan detail dari tujuan pengukuran yang disarankan.

Tujuan kuantitatif untuk performa proses dalam mendukung tujuan

perusahaan telah ditetapkan

GP 4.1.3 Tetapkan tujuan kuantitatif atas performa dari proses, berdasarkan kesesuaian proses dengan tujuan perusahaan. Tujuan pengukuran kuantitatif telah ditetapkan dan secara ekslpisit menggambarkan tujuan perusahaan dan telah dipastikan realistis dan berguna oleh manajemen dan pelaku proses.

GWP 7.0 Rencana pengukuran proses harus menyediakan detail dari ukuran dan indikator pengukuran.

Pengukuran dan frekuensinya telah diidentifikasi dan

ditetapkan sejalan dengan tujuan pengukuran proses dan tujuan kuantitatif atas performa prosesnya

GP 4.1.4 Identifikasikan pengukuran produk dan proses yang mendukung pencapaian tujaun kuantitatif atas performa proses. Pengukuran

mendetail untuk produk dan proses telag diidentifikasi, sekaligus dengan frekuensi pengumpulan data dan pengukuran, juga mekanisme verifikasi.

GWP 7.0 Rencana pengukuran proses menyediakan detail dari ukuran dan indikator pengukuran sekaligus prosedur pengumpulan data dan prosedur analisis.

Hasil pengukuran

dikumpulkan, dianalisis dan dilaporkan untuk memantau seberapa jauh tujuan kuantitatif proses tercapai

GP 4.1.5 Mengumpulkan hasil pengukuran produk dan proses dengan melakukan proses yang telah ditentukan. Hasil pengukuran dikumpulkan, dianalisis dan dilaporkan

GWP 7.0 Rencana pengukuran proses harus menyediakan detail aats prosedur analisis yang disarankan.

GWP 9.0 Catatan performa proses harus menyediakan

32 PA 4.2 Process Measurement

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

sesuai rencana yang telah ditetapkan.

detail atas pengukuran yang telah dikumpulkan dan dianalisis.

Hasil pengukuran digunakan untuk

menggambarkan performa proses

GP 4.1.6 Menggunakan hasil pengukuran untuk memantau dan

menverifikasi pencapaian atas tujuan performa proses. Hasil pengukuran dianalisis untuk memastikan

pencapaian terhadap tujuan performa proses. Teknik yang sesuai digunakan untuk memahami performa dan kapabilitas proses dalam batasan yang sudah ditentukan.

GWP 9.0 Catatan performa proses harus menyediakan detail atas pengukuran yang sudah dikumpulkan.

b. PA 4.2 Process Control

Pengukuran tentang seberapa jauh suatu proses secara kuantitatif bisa menghasilkan proses yang stabil, mampu dan dapat diprediksi dalam batasan yang telah ditentukan. Hasil pencapaian atribut ini dapat dilihat pada tabel 2.13.

Tabel 2. 16Process Control (COBIT 5:2012)

PA 4.2 Process Control

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

Teknik analisis dan kontrol telah ditentukan dan diaplikasikan

GP 4.2.1 Tentukan teknik analisis dan kontrol yang sesuai untuk mengontrol performa proses. Metode untuk mengukur efektivitas kontrol telah didefinisikan dan divalidasi.

GWP 1.0 Dokumentasi proses harus menyediakan detail pengontrolan (matriks kontrol)

GWP 8.0 Rencana

pengendalian proses harus ada dan menjelaskan pendekatan pengukuran untuk setiap proses. Pengontrolan batas variasi

telah ditetapkan untuk

GP 4.2.2 Menetapkan parameter yang cocok untuk

GWP 8.0 Rencana

33 PA 4.2 Process Control

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

performa proses normal mengontrol standar performa proses. Definisi standar atas proses dimodifikasi untuk memasukkan metode pengendalian proses dan batasan pengontrolan telah ditetapkan.

ada dan menjelaskan batasan kontrol untuk performa.

Data pengukuran dianalisis untuk mengetahui penyebab khusus atas suatu variasi

GP 4.2.3 Analisis hasil pengukuran proses dan produk untuk

mengidentifikasikan variasi dan performa proses. Hasil pengukuran pengontrolan proses dianalisis

untukmenentukan masalah yang perlu diperhatikan dan diteruskan untuk

pengulangan.

GWP 9.0 Catatan performa proses harus menyediakan detail atas pengukuran yang telah dikumpulkan dan dianalisis.

Tindakan koreksi diambil untuk memecahkan penyebab khusu variasi

GP 4.2.4 Identifikasi dan implementasikan tindakan koreksi untuk mengatasi sumber masalah. Tindakan koreksi diambil untuk mengatasi masalah pengontrolan proses dan hasilnya dipantau dan dievaluasi.

GWP 9.0 Catatan performa proses harus menyediakan detail atas pengukuran yang telah dikumpulkan dan dianalisis.

Batasan kontrol ditetapkan kembali (apabila

dibutuhkan) sebagai respon terhadap tindakan koreksi.

GP 4.2.5 Menetapkan kembali batasan kontrol setelah tindakan koreksi. Batasan kontrol proses dimodifikasi sesuai

kebutuhan setelah tindakan koreksi dilakukan.

GWP 8.0 Rencana

pengendalian proses harus ada dan menjelaskan batasan kontrol untuk performa.

5. Level 5 – Optimising Process

Proses yang terprediksi secara terus-menerus ditingkatkan untuk memenuhi tujuan bisnis saat ini dan tujuan yang akan datang.

34 Ketentuan atribut proses pada level 5 adalah sebagai berikut:

a. PA 5.1 Process Innovation

Mengukur sebuah perubahan proses yang telah diidentifikasi dari analisi penyebab umum dari adanya variasi di dalam performa dan dari investigasi pendekatan inovatif untuk mendefinisikan dan melaksanakan proses. Sebagai hasil pencapaian penuh atribut ini dapat dilihat pada tabel 2.14.

Tabel 2. 17Process Innovation (COBIT 5:2012)

PA 5.1 Process Innovation

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

Tujuan dari peningkatan masing-masing proses diidentifikasi untuk mendukung tujaun bisnis yang relevan

GP 5.1.1 Mendefinisikan tujuan peningkatan proses untuk mendukung tujuan bisnis yang relevan. Arahan untuk inovasi proses telah diatur. Tujuan peningkatan proses secara kualitatif dan kuantitatif didasarkan pada potensi inovasi proses seperti visi dan tujaun yang telah didefinisikan dan didokumentasikan.

GWP 7.0 Rencana peningkatan proses harus menyediakan tujuan peningkatan proses dan tindakan yang dilakukan untuk peningkatan tersebut.

Data yang tepat dianalisis agar dapat mengidentifikasi penyebab umum dari variasi performa proses

GP 5.1.2 Analisis pengukuran data proses untuk mengidentifikasi variasi yang nyata dan berpotensi di dalam performa proses. Data performa proses dianalissi untuk mengidentifikasi variasi di dalam performa proses bersama dengan akar penyebab dari masalah performa proses secara umum.

GWP 9.0 Catatan performa proses harus menyediakan penjelasan mengenai kumpulan dan analisis pengukuran.

Data yang tepat dianalisis agar dapat mengidentifikasi peluang untuk pelaksanaan praktik terbaik dan inovasi.

GP 5.1.3 Identifikasi peluang peningkatan proses berdasarkan inovasi dan praktik terbaik. Peluang

GWP 6.0 Rencana peningkatan proses harus menyediakan penjelasan mengenai analisis praktik

35 PA 5.1 Process Innovation

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

peningkatkan proses diidentifikasi berdasarkan perbandingan dengan praktik terbaik industri.

terbaik.

Peluang peningkatan yang bermula dari teknologi baru dan konsep proses baru diidentifikasikan

GP 5.1.4 Didasarkan pada peluang peningkatan dari teknologi dan konsep proses baru. Peluang peningkatan proses diidentifikasi berdasarkan review dan analisis mengenai inovasi teknologi dan konsep proses, yang dilanjutkan pada perubahan lingkungan bisnis termasuk munculnya risiko bisnis.

GWP 6.0 Rencana peningkatan proses harus menyediakan penjelasan mengenai analisis peluang peningkatan teknologi.

Strategi implementasi dibuat untuk mencapai tujuan dari peningkatan proses

GP 5.1.5 Mendefinisikan strategi implementasi berdasarkan visi dan tujaun peningkatan jangka

panjang. Strategi peningkatan proses

didefinisikan dan divalidasi berdasarkan goal dan objektif dari peningkatan. Komitmen untuk

peningkatan

didemonstrasikan oleh manajer dan pemilik proses.

GWP 6.0 Rencana peningkatan proses harus menyediakan penjelasan mengenai strategi implementasi untuk peningkatan proses.

b. PA 5.2 Process Optimisation

Mengukur perubahan untuk definisi, manajemen dan performa proses agar memiliki hasil yang berdampak secara efektif untuk mencapai tujaun dari proses peningkatan. Sebagai hasil pencapaian penuh atribut ini, ditunjukkan dalam tabel 2.15.

36

Tabel 2. 18Process Optimisation (COBIT 5:2012)

PA 4.2 Process Optimisation

Hasil atau pencapaian

penuh atribut Generic Practices Generic Work Products

Dampak dari perubahan yang telah dilakukan dinilai kesesuaiannya dengan tujuan dari proses yang telah didefinisikan dan proses standar

GP 5.2.3 Menilai dampak dari masing-masing perubahan yang telah dilakukan apakah telah sesuai dengan tujuan dari proses standar dan proses yang telah didefinisikan. Dampak dari perubahan yang telah dilakukan dinilai kesesuaiannya agar dapat menentukan dampak dari kualitas produk dan perfoma proses apakah telah sesuai dengan proses lain yang berhubungan.

GWP 6.0 Rencana peningkatan proses harus menyediakan rincian mengenai pendekatan kualitas proyek peningkatan proses.

Implementasi dari perubahan yang telah disetujui dikelola untuk memastikan bahwa perbedaan-perbedaan performa proses dimengerti dan dilakukan setelahnya

GP 5.2.2 Mengelola implementasi dari perubahan yang telah disetujui untuk memilih area dari proses yang telah didefinisikan sesuai dengan strategi implementasi. Implementasi dari perubahan yang telah disetujui dikelola sesuai dengan manajemen perubahan dan proses pendukung perubahan.

GWP 6.0 Rencana peningkatan proses harus menyediakan rinsian mengenai strategi

implementasi peningkatan proses dan perubahan yang terdiri dari :

- GWP 1.0 Dokumentasi proses

- GWP 3.0 Rencana kualiatas

- GWP 5.0 Kebijakan dan standar

Beedasarkan performa saat ini, kefektivitasan

perubahan proses dievaluasi berdasarkan persyaratan produk dan tujuan proses untuk menentukan hasilmemiliki penyebab umum atau khusus

GP 5.2.3 Berdasarkan performa saat ini, evaluasi kefektifitasan perubahan proses sesuai dengan performa proses, tujuan kapabilitas dan tujuan bisnis. Kefektifitasan perubahan membuat proses tersebut perlu diukur, dievaluasi dan dilaporkan setelah implementasi

GWP 6.0 Rencana peningkatan proses harus menyediakan rincian mengenai pendekatan kualitas proyek peningkatan proses.

Pengukuran kapabilitas berdasarkan serangkaian atribut proses. Setiap atribut menentukan aspek kapabilitas proses. Level pencapaian atribut proses dapat dilihat pada tabel 2.16.

37

Tabel 2. 19 Level Pencapaian Atribut Proses (COBIT 5:2012)

Level Persentase Pencapaian Deskripsi

N

(Not Achived)

0-15% achievement Ada sedikit atau bahkan tak ada bukti pencapaian atribut dalam proses penilaian

P

(Partially achieved)

>15-50% achievement Adanya beberapa bukti

pendekatan dan beberapa

pencapain, atribut yang

ditetapkan dalam proses

penilaian. Beberapa aspek pencapaian atribut mungkin saja tidak dapat diprediksi.

L

(Largely achieved)

>50-85% achievement Adanya bukti pendekatan

sistematik dan pencapaian yang signifikan dan penetapan atribut dalam proses penilaian. Beberapa kelemahan yang terkait dengan atribut dapat muncul dalam proses penilaian.

F

(Fully achieved)

>85-100% achievement Adanya bukti pendekatan yang

lengkap dan sistematik,

pencapaian penuh dan penetapan atribut dalam proses penilaian. Tidak adanya kekurangan yang signifikan terkait atribut dalam proses penilaian.

Suatu proses cukup meraih kategori largely achieved (L) atau fully achieved (F) untuk dapat dinyatakan telah meraih suatu level kapabilitas. Namun proses tresebut harus meraih kategori F untuk dapat melanjutkan penilaian ke level kapabilitas berikutnya.

BAB I PENDAHULUAN 1.1Latar Belakang

PT. X merupakan sebuah badan usaha milik negara (BUMN) Indonesia yang bergerak di bidang layanan jasa pos, bisnis komunikasi, bisnis logistik, bisnis keuangan dan filateli, jasa keagenan/Pihak III serta jasa lainya sesuai dengan Peraturan perundang-undangan.

PT. X merupakan BUMN yang menerapkan Good Corporate Governance (GCG) sesuai dengan Peraturan Menteri Negara BUMN Nomor: Per-01/MBU/2011 tentang Penerapan Tata Kelola Perusahaan yang Baik (Good Corporate Governance) pada BUMN. Sebagai salah satu bagian dari penerapan GCG, PT. X membentuk unit kerja manajemen risiko.

Manajemen risiko dilakukan untuk mengenali dan mengelola risiko serta kejadian-kejadian yang mungkin akan muncul, meminimalkan dampaknya dan menentukan penanganan risiko yang tepat untuk meningkatkan peluang sukses.

Namun, manajemen risiko pada PT. X, khususnya risiko TI belum berjalan dengan baik sebab masih ditemukannya permasalahan, seperti kehilangan/kerusakan database tanpa kejelasan siapa dan unit mana yang bertanggung jawab karena penggunaan password DBA yang dibagi pakai, user dan password diketahui oleh yang tidak berhak dan kecurangan ditemukan dalam waktu yang lama dikarenakan tidak adanya penghapusan user lama, waktu respon CPU melambat dan transaksi terganggu karena penggunaan aplikasi layanan transaksi di loket bercampur dengan aplikasi lain yang tidak berhubungan, tidak

terpantaunya masa pakai komponen mesin yang dapat mengganggu terhentinya transaksi layanan dan sering terjadi kerusakan peralatan elektronik (alat komunikasi, switch, hub dan sebagainya) yang mengakibatkan terhentinya kegiatan.

Permasalahan tersebut menandakan bila manajemen risiko TI PT. X belum berjalan dengan baik. Akibatnya, kerusakan/kehilangan dan perubahan data oleh pihak yang tak berwenang dan kerusakan perangkat TI yang dapat mengganggu operasional.

Karena itulah perlu dilakukan pengukuran terhadap manajemen risiko TI yang berjalan saat ini untuk mengetahui kinerja manajemen risiko TI. Kekurangan yang ada pada manajemen risiko TI saat ini dapat menjadi dasar untuk menentukan langkah apa saja yang perlu dilakukan untuk dapat meningkatkan manajemen risiko dan menurunkan tingkat kegagalan/kerugian.

Pengukuran manajemen risiko TI menggunakan COBIT 5 karena memberikan kerangka kerja yang lengkap yang membantu perusahaan dalam mencapai tujuan untuk IT Governance dan IT Management. COBIT 5 juga membantu perusahaan dalam menciptakan nilai yang optimal dari TI dengan menjaga keseimbangan antara realisasi manfaat, optimasi risiko, dan optimasi sumber daya.

Menurut IT Governance Institute, perusahaan yang telah menerapkan COBIT 5 mengalami peningkatan manajemen risiko yang berkaitan dengan TI, meningkatkan komunikasi dan hubungan antara bisnis dengan TI, menurunkan

biaya TI, meningkatkan penyampaian tujuan bisnis dan meningkatkan daya saing TI[8].

Selain itu, manfaat dalam penerapan COBIT 5 adalah untuk mengelola risiko terkait TI pada tingkatan yang dapat diterima, mengelola informasi dengan kualitas yang tinggi untuk mendukung keputusan bisnis, mencapai tujuan strategi dan manfaat bisnis melalui pemakaian TI secara efektif dan inovatif, mencapai tingkat operasional yang lebih baik dengan aplikasi teknologi yang handal dan efisien, mengoptimalkan biaya dari layanan dan teknologi TI, mendukung kepatuhan terhadap hukum, peraturan, kontrak dan kebijakan.

1.2Rumusan Masalah

Berikut ini rumusan masalah berdasarkan uraian di atas :

1. Bagaimana pengukuran manajemen risiko TI pada PT. X menggunakan COBIT 5.

2. Bagaimana analisis gap dan langkah-langkah apa saja yang perlu dilakukan untuk dapat mencapai manajemen risiko TI yang diharapkan.

1.3Maksud dan Tujuan

Maksud penelitian ini adalah untuk menilai penerapan manajemen risiko TI di PT. X. Selain itu penelitian ini juga bertujuan untuk :

1. Mengukur manajemen risiko TI PT. X dengan menggunakan COBIT 5. 2. Melakukan analisis gap dan memberikan rekomendasi berupa langkah yang

1.4Manfaat Penelitian

Penelitian ini diharapkan dapat memberi masukan pada PT. X berupa langkah-langkah yang dapat dilakukan untuk dapat mencapai manajemen risiko TI yang diharapkan.

1.5Batasan Masalah

Penelitian dibatasi pada pengukuran manajemen risiko TI berdasarkan permasalahan yang ada di PT. X, yaitu yang berkaitan dengan keamanan dan operasional.

1.6Sistematika Penulisan

Sistematika penulisan penelitian yang akan dibuat terdiri dari beberapa bab, yaitu:

BAB I Pendahuluan berisi uraian mengenai latar belakang penelitian, rumusan masalah, tujuan penelitian, manfaat penelitian, pembatasan masalah dan sistematika penulisan.

BAB II Tinjauan Pustaka berisi penjelasan teori-teori yang digunakan untuk menunjang pembahasan permasalahan dalam penelitian, seperti penjelasan mengenai konsep manajemen risiko dan COBIT 5.

BAB III Obyek dan Metodologi Penelitian menguraikan pendekatan-pendekatan yang digunakan sampai ke tahap analisis, teknik analisis data, dan lokasi penelitian.

BAB IV Analisis dan Pembahasan berisi pemetaan manajemen risiko TI pada PT. X dengan menggunakan tool COBIT5 serta langkah-langkah yang dapat dilakukan untuk dapat mencapai capability level yang diharapkan.

v KATA PENGANTAR

Segala puji dan syukur penulis panjatkan kehadirat Allah SWT, yang telah melimpahkan rahmat dan karunia-Nya berupa pikiran, tenaga dan segala sesuatu yang dianugerahkan-Nya sehingga penulis dapat menyelesaikan tesis yang berjudul “Pengukuran Manajemen Risko TI di PT. X Menggunakan COBIT 5”.

Penulis menyadari betul bahwa penulisan tesis ini masih terdapat kekurangan dan kesalahan yang jauh dari sempurna, mengingat keterbatasan penulis dalam hal ilmu pengetahuan, pengalaman dan kemampuan yang penulis miliki. Maka dari itu kritik dan saran yang membangun dari semua pihak sangat penulis harapkan.

Dalam mempersiapkan dan menyelesaikan tesis ini penulis telah banyak memperoleh bantuan baik berupa moril maupun materil dan bimbingan pengarahan serta dorongan dari berbagai pihak, yang sangat membantu kelancaran dalam penyusunan tesis.

Atas itu semua pada kesempatan ini penulis menyampaikan ucapan terima kasih kepada :

1. Ibu dan Bapak yang selalu memberikan doa, dorongan dan semangat. 2. Resti Ardhanareswari, kakak tercinta yang selalu mendoakan, memberikan

semangat pada penulis.

3. Dr. Ir. Eddy Suryanto Soegoto, M.Sc, selaku Rektor Universitas Komputer Indonesia.

vi 4. Dr. Ir. Herman S. Soegoto, MBA., selaku Dekan Fakultas Pascasarjana

Universitas Komputer Indonesia.

5. Dr. Yeffry Handoko Putra, S.T., M.T., selaku Ketua Program Studi Pasca Sarjana Universitas Komputer Indonesia.

6. Dr. Eng. Ana Hadiana, selaku dosen pembimbing I yang telah memberikan bimbingan, arahan dan saran dalam penyusunan tesis ini. 7. Irfan Maliki, S.T., M.T., selaku dosen pembimbing II yang telah

memberikan bimbingan, araahan dan saran dalam penyusunan tesis ini. 8. Kepada Seluruh Pengajar Program Studi Magister Sistem Informasi,

Universitas Komputer Indonesia.

9. Staff Administrasi Fakultas Pasca Sarjana Universitas yang telah membantu mengurus setiap kebutuhan administrasi penulis.

10.M.Fajar Wicaksono, terima kasih banyak atas semuanya. Jeongmal kamsahamnida Fajar Oppa.

11.Sahabat setia: Dian, Elin, Widi dan Windi. Terima kasih atas semangat, dukungan, perhatian, dan doanya.

12.Teman-teman MSI-2.

13.Semua orang yang telah berbuat baik kepada saya. Semoga Allah membalas semua kebaikan kalian. Barakallah.

Semoga tesis ini bermanfaat bagi semua pihak.

Bandung, 2014 Myrna Dwi Rahmatya

73 DAFTAR PUSTAKA

[1]. Hopkin, Paul. 2010. Fundamentals of Risks Management : Understanding, Evaluating and Implementing Effective Risk Management. Kogan Page. London.

[2]. ISACA. 2012. COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. ISACA

[3]. ISACA. 2012. COBIT 5: Enabling Process. ISACA

[4]. ISACA. 2012. COBIT 5 Toolkit: COBIT and GRC. ISACA

[5]. ISACA. 2012. Process Assessment Model (PAM): Using COBIT 5. ISACA

[6]. ISACA. 2013. Mapping to COBIT 5. Melalui

http://www.isaca.org/Certification/CGEIT-Certified-in-the-Governance-of-Enterprise-IT/Prepare-for-the-Exam/Mappin-to-COBIT/Pages/default.aspx.

[7]. IT Governance Institute. 2007. COBIT 4.1. IT Governance Institute.

[8]. Khanyile, Slindile. Abdullah, Hanifa. COBIT 5: An Evolutionary Framework and Only Framework to Address The Governance and Management of Enterprise IT. UNISA.

[9]. Kouns, Jake. Minoli., Daniel. 2010. Information Technology Risk Management in Enterprise Environments. Wiley. USA

[10]. Maulana, Muhammad Mahreza. Supangkat, Suhono Harso. 2006. Prosiding Konferensi Nasional Teknologi Informasi dan Komunikasi untuk Indonesia.

Pemodelan Framework Manajemen Resiko TI untuk Perusahaan di Negara Berkembang. Mei. p.122

[11]. Rafeq, A. 2012. Systems Audit of GRC Using COBIT 5. The Chartered Accountant.

74 [12]. Stoneburner, Gary. 2002. Risk Management Guide for Information Technology Systems: Recomendations of the National Institute of Standards and Technology. U.S. Departement of Commerce.

[13]. The Intermational Organization for Standardization. 2009. Risk Management. Principles and Guidelines. The International Organization for Standardization. Switzerland.

[14]. Vaughan, Emmet J. Vaughan, Therese M. 2008. Fundamentals of Risk and Insurance. John Wiley & Sons. USA

vii DAFTAR ISI

LEMBAR PENGESAHAN ... i

LEMBAR PERNYATAAN ... ii

ABSTRAK ... iii

ABSTRACT ... iv

KATA PENGANTAR ...v

DAFTAR ISI ... vii

DAFTAR GAMBAR ...x

DAFTAR TABEL ... xi

BAB I PENDAHULUAN ...1

1.1 Latar Belakang ... 1

1.2 Rumusan Masalah ... 3

1.3 Maksud dan Tujuan ... 3

1.4 Manfaat Penelitian ... 4

1.5 Batasan Masalah ... 4

1.6 Sistematika Penulisan ... 4

BAB II TINJAUAN PUSTAKA ...6

2.1 Risiko ... 6

2.2 Konsep Manajemen Risiko TI ... 8

2.3 IT Governance ... 9

2.4 COBIT 5 ... 11

2.4.1 Prinsip COBIT 5... 12

2.4.2 Domain dan Proses COBIT 5 ... 24

2.4.2.1 Governance EIT ... 25

2.4.2.2 Manajemen EIT... 25

2.4.3 Process Capability Model ... 27

BAB III OBYEK DAN METODOLOGI PENELITIAN ... 43

3.1 Obyek Penelitian ... 43

viii

3.1.2 Visi dan Misi ... 44

3.1.3 Struktur Organisasi ... 46

3.2 Metodologi Penelitian ... 46

3.2.1 Merumuskan Masalah ... 47

3.2.2 Studi Literatur ... 48

3.2.3 Menentukan Proses COBIT 5 ... 49

3.2.4 Menggunakan Kuesioner ... 50

3.2.5 Pengumpulan Data ... 51

3.2.5 Analisis ... 51

3.2.5.1 Mengukur Capability Level ... 51

3.2.5.2 Menentukan Capability Level yang ingin dicapai ... 51

3.2.5.3 Analisis Gap ... 51

3.2.6 Membuat Rekomendasi ... 52

BAB IV HASIL DAN PEMBAHASAN ... 53

4.1 Hasil Perproses... 53

4.1.1 EDM03 Optimasi Risiko ... 53

4.1.2 APO12 Mengelola Risiko... 54

4.1.3 DSS01 Mengelola operasi ... 55

4.1.4 DSS05 Mengelola Layanan Keamanan ... 56

4.1.5 MEA02 Memantau, Evaluasi dan Menilai sistem kontrol internal ... 57

4.2 Capability Level yang ingin dicapai ... 58

4.3 Analisis Gap ... 58

4.4 Rekomendasi Perproses untuk Level 1 ... 59

4.4.1 EDM03 Optimasi Risiko ... 59

4.4.2 APO12 Mengelola Risiko ... 61

4.4.3 DSS01 Mengelola Operasi... 62

4.4.4 DSS05 Mengelola Layanan Keamanan... 64

4.4.5 MEA02 Memantau, Evaluasi dan Menilai Sistem Kontrol Internal ... 66

ix

BAB V KESIMPULAN DAN SARAN ... 71

5.1 Kesimpulan ... 71

5.2 Saran ... 72

DAFTAR PUSTAKA ... 73 LAMPIRAN

PENGUKURAN MANAJEMEN RISIKO TI

DI PT. X MENGGUNAKAN COBIT 5

Oleh :

Myrna Dwi Rahmatya 5710111074

TESIS

Disusun untuk memenuhi salah satu syarat ujian guna memperoleh gelar Magister Sistem Informasi

PROGRAM PASCA SARJANA

UNIVERSITAS KOMPUTER INDONESIA

BANDUNG