menemukan temuan-temuan dari hasil analisis pada nilai kapabilitas level yang ada pada proses tersebut. 3. Penentuan Gap Melakukan penyusunan gap yang dihasilkan dari tahap sebelumnya yakni tahap menemukan temuan yang didapat dari hasil perhitungan kuesioner pada Capability Level, sehingga dapat dilihat kesenjangan kondisi sistem yang saat ini sedang berjalan dengan mengidentifikasi peluang dalam perbaikan yang akan dilakukan. 4. Penentuan Rekomendasi Melakukan penyusunan rekomendasi perbaikan proses yang berkelanjutan berdasarkan dari hasil gap atau kesenjangan yang ada.

1.8 Sistematika Penulisan

Dalam penyusunan laporan ini pembahasan terbagi dalam lima bab yang secara singkat akan diuraikan sebagai berikut:

BAB I PENDAHULUAN

Bab ini berisikan latar belakang masalah, rumusan masalah, batasan masalah, tujuan dan manfaat, ruang lingkup, metode penelitian dan sistematika penulisan.

BAB II LANDASAN TEORI

Bab ini membahas secara singkat teori yang diperlukan dalam penelitian skripsi.

BAB III METODOLOGI PENELITIAN

Pada bab ini akan dijelaskan metodologi yang digunakan penulis dalam melakukan penelitian.

BAB IV ANALISIS DAN PEMBAHASAN

Dalam bab ini diuraikan secara singkat profil perusahaan, analisis tata kelola teknologi informasi yang terdiri dari perhitungan kuesioner, menemukan temuan dan gap dari hasil analisis, serta memberikan rekomendasi pada perusahaan terkait proses mengelola relasi atau hubungan.

BAB V PENUTUP

Bab ini menyajikan simpulan serta saran dari apa yang telah diterangkan dan diuraikan pada bab-bab sebelumnya. 15

BAB II LANDASAN TEORI

2.1 Tata Kelola Teknologi Informasi

2.1.1 Pengertian Tata Kelola

Jogiyanto dan Abdillah 2011 menjelaskan bahwa tata kelola governance merupakan suatu proses yang dilakukan oleh suatu organisasi atau masyarakat untuk mengatasi permasalahan yang terjadi.

2.1.2 Pengertian Teknologi Informasi

Teknologi Informasi adalah penerapan teknologi komputer peralatan teknik berupa perangkat keras dan perangkat lunak untuk menciptakan, menyimpan, mempertukarkan, dan menggunakan informasi dalam berbagai bentuk Fauziah, 2010.

2.1.3 Pengertian Tata Kelola Teknologi Informasi

Terdapat beberapa definisi tata kelola teknologi informasi menurut beberapa ahli dalam Surendro, 2009, diantaranya sebagai berikut: 1. Kapasitas organisasi untuk mengendalikan formulasi dan implementasi strategi organisasi dan mengarahkan kepada kepentingan pencapaian daya saing korporasi. 2. Tata kelola teknologi informasi adalah pertanggungjawaban dewan direksi dan manajemen eksekutif. Hal ini merupakan bagian yang terintegrasi dengan tata kelola perusahaan dan berisi kepemimpinan dan struktur serta proses organisasi yang menjamin bahwa organisasi teknologi informasi mengandung dan mendukung strategi serta tujuan bisnis. 3. Tata kelola teknologi informasi adalah penilaian kapasitas organisasi oleh dewan direksi, manajemen eksekutif, manajemen teknologi informasi untuk mengendalikan formulasi dan implementasi strategi teknologi informasi dalam rangka mendukung bisnis. Dari ketiga definisi tersebut dapat disimpulkan bahwa yang dimaksud tata kelola teknologi informasi adalah sebuah upaya atau usaha yang dilakukan oleh pihak manajemen level atas seperti dewan direksi dan manajemen eksekutif untuk melakukan pengelolaan terhadap teknologi informasi yang dimiliki oleh perusahaan, untuk mendukung dan menyelaraskan strategi-strategi bisnis yang telah ada pada perusahaan.

2.1.4 Evaluasi Tata Kelola Teknologi Informasi

Berdasarkan penjelasan diatas, maka dapat disimpuljan evaluasi tata kelola teknologi informasi adalah suatu proses mengukur pencapaian nilai TI dalam sebuah perusahaan yang dipertanggung jawaban dewan direksi dan manajemen eksekutif untuk melakukan pengelolaan terhadap teknologi informasi yang dimiliki agar dapat mendapatkan keuntungan kompetitif.

2.1.5 Tujuan dan Kegunaan Tata Kelola Teknologi Informasi

Sedangkan menurut Surendro 2009, kegunaan tata kelola teknologi informasi adalah untuk mengatur penggunaan teknologi informasi, serta untuk memastikan kinerja teknologi informasi sesuai dengan tujuan berikut ini: 1. Keselarasan teknologi informasi dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari penerapan teknologi informasi 2. Penggunaan teknologi informasi agar memungkinkan perusahaan mengeksploitasi peluang dan memaksimalkan keuntungan 3. Penggunaan sumber daya teknologi informasi yang bertanggung jawab 4. Manajemen yang tepat akan risiko yang terkait teknologi informasi secara tepat

2.1.6 Area Tata Kelola Tata Kelola TI

Menurut Sarno 2009, tata kelola TI mencakup area dari kelima fokus area tata kelola TI dua diantaranya: value delivery and risk management merupakan outcome, sedang tiga lainnya merupakan driver pendorong: strategic alignment, resource management dan performace measurement: kelima hal ini semuanya digerakkan oleh stakeholder value. 1. Penyesuaian strategis Strategic Allignment, penerapan TI harus mendukung pencapaian misi perusahaan. Strategi TI harus benar-benar mendukung strategi bisnis perusahaan. 2. Penambahan nilai Value Delivery, penerapan TI harus memberikan nilai tambah bagi pencapaian misi perusahaan. 3. Pengelolaan risiko Risk Management, penerapan TI harus disertai dengan identifikasi terhadap risiko-risiko TI, sehingga dapat mengatasi dampak yang ditimbulkan olehnya. Risiko penerapan TI dapat berupa virus, penyalahgunaan hak akses, kesalahankerusakan sistem, kerusakan sistem pendukung dan lain-lain. 4. Pengelolaan sumber daya Resource Management, penerapan TI harus didukung sumber daya yang memadai dan penggunaan sumber daya yang optimal. 5. Pengukuran kinerja Performance Measurement, penerapan TI harus diukur dan dievaluasi secara berkala, untuk memastikan bahwa investasi dan kinerja TI sesuai dengan kebutuhan bisnis perusahaan. Terdapat beberapa keuntungan yang dapat diperoleh perusahaan dengan adanya sebuah Tata Kelola TI menurut Sarno 2009, yaitu: 1. Kemampuan proses yang lebih baik. 2. Dukungan dalam menyelaraskan kebutuhan bisnis. 3. Mengurangi risiko-risiko penerapan TI. 4. Peningkatan kinerja. 5. Pertambahan nilai yang semakin baik.

2.1.7 Prinsip Tata Kelola TI

Menurut Jogiyanto dan Abdillah 2011 prinsip tata kelola TI menunjukan kriteria dan arah tujuan strategik penerapan TI dalam organisasi. Prinsip tata kelola TI adalah sebagai berikut: 1. Tata kelola TI lebih sebagai sistem pencegahan 2. Rancang Tata Kelola TI secara teintegrasi 3. Keterlibatan dan partisipasi eksekutif puncak 4. Kaji secara rutin 5. Selaras dengan visi organisasi 6. Selaras dengan Sistem Penghargaan 7. Tanggung Jawab dan Kepemilikan yang jelas.

2.2 COBIT

2.2.1 Definisi COBIT Control Objectives For Information Related Technology

COBIT merupakan a set of best practices framework bagi pengelolaan teknologi informasi IT Management yang disusun oleh The IT Governance Institute ITGI dan Information System Audit Control Association ISACA Gondodiyoto, 2007. Secara definisi COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna user, dan manajemen untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI, serta best bussiness practices yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif. Selain itu COBIT mendukung manajemen dalam mengoptimumkan investasi TI-nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau risiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. Sumberdaya TI adalah suatu elemen yang sangat disoroti COBIT, termasuk pemenuhan kebutuhan bisnis terhadap: efektivitas, efisiensi, kerahasiaan, keterpaduan, ketersediaan, kepatuhan kepada kebijakanaturan dan keandalan informasi effectiveness, efficiency, confidentiality, integrity, avaiblity, compliance, dan reability Gondodiyoto, 2007:276 Menurut COBIT, keputusan bisnis yang baik harus didasarkan pada knowledge yang berasal dari informasi yang relevan, kemprehensif dan tepat waktu, yang dapat dihasilkan jika memenuhi 7 kriteria kerja COBIT. Tabel 2.1 Kriteria Informasi COBIT 4.1 Sarno, 2009 Effectiveness Efektifitas Informasi yang diperoleh harus relevan dan berkaitan dengan proses bisnis, konsisten, dapat dipercaya dan tepat waktu. Efficiency Efisiensi Penyediaan informasi melalui penggunaan sumber daya yang paling produktif dan ekonomis yang optimal. Confidentiality Kerahasiaan Berkaitan dengan proteksi pada informasi penting dari pihak-pihak yang tidak memiliki hak otorisasitidak berwenang. Integrity Integritas Berkaitan dengan keakuratan dan kelengkapan datainformasi dan tingkat validitas yang sesuai dengan ekspektasi dan nilai bisnis. Availability Ketersediaan Fokus terhadap ketersediaan datainformasi ketika diperlukan dalam proses bisnis, baik sekarang maupun di masa yang akan datang. Ini juga terkait dengan pengamanan atas sumber daya yang diperlukan dan terkait. Compliance Kepatuhan Pemenuhan datainformasi yang sesuai dengan ketentuan, peraturan daa rencana perjanjian atau kontrak untuk proses bisnis. Reliability Handal Fokus pada pemberian informasi yang tepat bagi manajemen untuk mengoperasikan perusahaan dan pemenuhan kewajiban mereka untuk membuat laporan keuangan.

2.3 COBIT 5

Menurut ISACA 2012, COBIT 5 merupakan generasi terbaru dari panduan ISACA yang membahas mengenai tata kelola dan manajemen IT. COBIT 5 dibuat berdasarkan pengalaman penggunaan COBIT selama lebih dari 15 tahun oleh banyak perusahaan dan pengguna dari bidang bisnis, komunitas IT, risiko, asuransi, dan keamanan. COBIT 5 mendefinisikan dan menjelaskan secara rinci sejumlah tata kelola dan manajemen proses. COBIT 5 menyediakan referensi model proses yang mewakili semua proses yang biasa ditemukan dalam suatu perusahaan terkait dengan kegiatan TI. Model proses yang diusulkan bukan hanya sekedar model proses tetapi suatu model yang bersifat komprehensif. Setiap perusahaan harus mendefinisikan bidang prosesnya sendiril, dengan mempertimbangkan situasi tertentu dalam perusahaan tersebut. COBIT 5 juga menyediakan kerangka kerja untuk mengukur dan memantau kinerja TI, berkomunikasi dengan layanan dan mengintegrasikan praktik pengelolaan terbaik ISACA, 2012. Berikut ini merupakan cangkupan antara COBIT 5 dan framework lain: Gambar 2.1 Cangkupan antara COBIT 5 dengan framework lain ISACA, 2012 COBIT 5 dikembangkan untuk mengatasi kebutuhan-kebutuhan penting seperti: 1. Membantu stakeholder dalam menentukan apa yang mereka harapkan dari informasi dan teknologi terkait seperti keuntungan apa, pada tingkat risiko berapa, dan pada biaya berapa dan bagaimana prioritas mereka dalam menjamin bahwa nilai tambah yang diharapkan benar-benar tersampaikan. Beberapa pihak lebih menyukai keuntungan dalam jangka pendek sementara pihak lain lebih menyukai keuntungan jangka panjang. Beberapa pihak siap untuk mengambil risiko tinggi sementara beberapa pihak tidak. Perbedaan ini dan terkadang konflik mengenai harapan harus dihadapi secara efektif. Stakeholder tidak hanya ingin terlibat lebih banyak tapi juga menginginkan transparansi terkait bagaimana ini akan terjadi dan bagaimana hasil yang akan diperoleh. 2. Membahas peningkatan ketergantungan kesuksesan perusahaan pada perusahaan lain dan rekan TI, seperti outsource, pemasok, konsultan, klien dan penyedia layanan lain, serta pada beragam alat internal dan mekanisme untuk memberikan nilai tambah yang diharapkan. 3. Mengatasi jumlah informasi yang meningkat secara signifikan. Bagaimana perusahaan memilih informasi yang relevan dan kredibel yang akan mengarahkan perusahaan kepada keputusan bisnis yang efektif dan efisien? Informasi juga perlu untuk dikelola secara efektif dan model informasi yang efektif dapat membantu untuk mencapainya. 4. Mengatasi TI yang semakin meresap ke dalam perusahaan. TI semakin menjadi bagian penting dari bisnis. Seringkali TI yang terpisah tidak cukup memuaskan walaupun sudah sejalan dengan bisnis. TI perlu menjadi bagian penting dari proyek bisnis, struktur organisasi, manajemen risiko, kebijakan, kemampuan, proses, dan sebagainya. Tugas dari CIO dan fungsi TI sedang berkembang sehingga semakin banyak orang dalam perusahaan yang memiliki kemampuan TI akan dilibatkan dalam keputusan dan operasi TI. TI dan bisnis harus diintegrasikan dengan lebih baik. 5. Menyediakan panduan lebih jauh dalam area inovasi dan teknologi baru. Hal ini berkaitan dengan kreativitas, penemuan, pengembangan produk baru, membuat produk saat ini lebih menarik bagi pelanggan, dan meraih tipe pelanggan baru. Inovasi juga menyiratkan perampingan pengembangan produk, produksi dan proses supply chain agar dapat memberikan produk ke pasar dengan tingkat efisiensi, kecepatan, dan kualitas yang lebih baik. 6. Mendukung perpaduan bisnis dan TI secara menyeluruh, dan mendukung semua aspek yang mengarah pada tata kelola dan manajemen TI perusahaan yang efektif, seperti struktur organisasi, kebijakan, dan budaya. 7. Mendapatkan kontrol yang lebih baik berkaitan dengan solusi TI. 8. Memberikan perusahaan: a. nilai tambah melalui penggunaan TI yang efektif dan inovatif, b. kepuasan pengguna dengan keterlibatan dan layanan TI yang baik, c. kesesuaian dengan peraturan, regulasi, persetujuan, dan kebijakan internal, d. peningkatan hubungan antara kebutuhan bisnis dengan tujuan IT. 9. Menghubungkan dan bila relevan, menyesuaikan dengan framework dan standar lain seperti ITIL, TOGAF, PMBOK, PRINCE2, COSO, dan ISO. Hal ini akan membantu stakeholder mengerti bagaimana kaitan berbagai framework, berbagai standar antar satu sama lain, dan bagaimana mereka dapat digunakan bersama-sama. 10. Mengintegrasikan semua framework dengan panduan ISACA yang mengutamakan fokus kepada COBIT, Val IT, dan Risk IT, tetapi juga mempertimbangkan BMIS, ITAF, dan TGF, sehingga COBIT 5 mencakup seluruh perusahaan dan menyediakan dasar untuk integrasi dengan framework dan standar lain menjadi satu kesatuan framework. Secara sederhana, COBIT 5 membantu perusahaan menciptakan nilai yang optimal dari TI dengan menjaga keseimbangan antara menyadari manfaat dan mengoptimalkan tingkat risiko dan penggunaan sumber daya. COBIT 5 memungkinkan informasi dan teknologi yang terkait untuk diatur dan dikelola dengan baik pada seluruh perusahaan, mengambil dalam bisnis secara menyeluruh dan area fungsional tanggung jawab, mengingat kepentingan yang berhubungan dengan IT pemangku kepentingan internal dan eksternal.

2.3.1 Prinsip COBIT 5

COBIT 5 memiliki Prinsip dan Enabler yang bersifat umum dan bermanfaat untuk semua ukuran perusahaan, baik komersial maupun non-profit ataupun sektor publik. 5 Prinsip tersebut adalah Meeting stakeholder needs, Covering enterprise end-to-end, Applying a single intergrated framework, Enabling a holistic approach dan Separating governance from management, berikut penjelasanya:

1. Meeting stakeholder needs, berguna untuk pendefinisan prioritas untuk

implementasi, perbaikan, dan jaminan. Kebutuhan stakeholder diterjemahkan ke dalam Goals Cascade menjadi tujuan yang lebih spesifik, dapat ditindaklajuti dan disesuaikan, dalam konteks : Tujuan perusahaan Enterprise Goal, Tujuan yang terkait IT IT-related Goal, Tujuan yang akan dicapai enabler Enabler Goal. Selain itu sistem tata kelola harus mempertimbangkan seluruh stakeholder ketika membuat keputusan mengenai penilaian manfaat, resource dan risiko. Gambar 2.2 The Governance Objective : Value Creation ISACA, 2012

2. Covering enterprise end-to-end, bermanfaat untuk mengintegrasikan tata

kelola TI perusahaan kedalam tata kelola perusahaan. Sistem tata kelola TI yang diusung COBIT 5 dapat menyatu dengan sistem tata kelola perusahaan dengan mulus. Prinsip kedua ini juga meliputi semua fungsi dan proses yang dibutuhkan untuk mengatur dan mengelola TI perusahaan dimanapun informasi diproses. Dalam lingkup perusahaan, COBIT 5 menangani semua layanan TI internal maupun eksternal, dan juga proses bisnis internal dan eksternal.

3. Applying a single intergrated framework, sebagai penyelarasan diri dengan

standar dan framework relevan lain, sehingga perusahaan mampu menggunakan COBIT 5 sebagai framework tata kelola umum dan integrator. Selain itu prinsip ini menyatukan semua pengetahuan yang sebelumnya tersebar dalam berbagai framework ISACA COBIT, VAL IT, Risk IT, BMIS, ITAF, dll.

4. Enabling a holistic approach, yakni COBIT 5 memandang bahwa setiap

enabler saling mempengaruhi satu sama lain dan menentukan apakah penerapan COBIT 5 akan berhasil.

5. Separating governance from management, COBIT membuat perbedaan yang

cukup jelas antara tata kelola dan manajemen. Kedua hal tersebut mencakup berbagai kegiatan yang berbeda, memerlukan struktur organisasi yang berbeda, dan melayani untuk tujuan yang berbeda pula. Gambar 2.3 Governance and Management Key A reas ISACA, 2012 Perbedaan Governance Tata kelola dengan Management Manajemen  Governance adalah tata kelola yang memastikan bahwa tujuan perusahaan dapat dicapai dengan melakukan evaluasi terhadap kebutuhan, kondisi, dan pilihan stakeholder, menerapkan arah melalui prioritas dan pengambilan keputusan terhadap arah dan tujuan yang telah disepakati. Pada kebanyakan perusahaan, tata kelola adalah tanggung jawab dari dewan direksi dibawah kepemimpinan ketua.  Management Manajemen berfungsi sebagai perencana, membangun, menjalankan dan memonitor aktifitas-aktifitas yang sejalan dengan arah yang ditetapkan oleh badan tata kelola untuk mencapai tujuan perusahaan. Pada kebanyakan perusahaan, manajemen menjadi tanggung jawab eksekutif manajemen dibawah pimpinan CEO.

2.3.2 Implementasi COBIT

Menurut ICASA 2012, tujuh tahap yang terdapat dalam siklus implementasi COBIT 5 adalah: 1. Tahap 1 – Initiate Progamme Tahap 1 mengidentifikasikan penggerak perubahan dan menciptakan keinginan untuk berubah di level manajemen eksekutif, yang kemudian diwujudkan berupa kasus bisnis. Penggerak perubahan dapat berupa kejadian internal maupun eksternal, dan kondisi atau isu penting yang memberikan dorongan untuk berubah. Kejadian, tren, masalah kinerja, implementasi perangkat lunak, dan bahkan tujuan dari perusahan dapat menjadi penggerak perubahan. Risiko yang terkait dengan implementasi dari program ini sendiri akan dideskripsikan di dalam kasus bisnis, dan dikelola sepanjang siklus hidupnya. Menyiapkan, menjaga, dan mengawasi kasus bisnis sangatlah mendasar dan penting untuk pembenaran, mendukung, dan kemudian memastikan hasil akhir yang sukses dari segala inisiatif, termasuk pengembangan GEIT. Mereka memastikan fokus yang berkelanjutan terhadap keuntungan dari program dan perwujudannya. 2. Tahap 2 –Define Problems and Opportunities Tahap 2 membuat agar tujuan TI dengan strategi dan risiko perusahaan sejajar, dan memprioritaskan tujuan perusahaan, tujuan TI, dan proses TI yang paling penting. COBIT 5 menyediakan panduan pemetaan tujuan perusahaan terhadap tujuan TI terhadap proses TI untuk membantu penyeleksian. Dengan mengetahui tujuan perusahaan dan TI, proses penting yang harus mencapai tingkat kapabilitas tertentu dapat diketahui. Manajemen perlu tahu kapabilitas yang ada saat ini dan dimana kekurangan terjadi. Hal ini dapat dicapai dengan cara melakukan penilaian kapabilitas proses terhadap proses-proses yang terpilih. 3. Tahap 3 –Define Road Map Tahap 3 menetapkan target untuk peningkatan, diikuti oleh analisis selisih untuk mengidentifikasi solusi potensial. Beberapa solusi akan berupa quick wins dan beberapa berupa tugas jangka panjang yang lebih sulit. Prioritas harus diberikan kepada proyek yang lebih mudah untuk dicapai dan lebih mungkin memberikan keuntungan yang paling besar. Tugas jangka panjang perlu dipecah menjadi bagian-bagian yang lebih mudah untuk diselesaikan. 4. Tahap 4 –Plan Programme Tahap 4 merencanakan solusi praktis yang layak dijalankan dengan mendefinisikan proyek yang didukung dengan kasus bisnis yang dapat dibenarkan dan mengembangkan rencana perubahan untuk implementasi. Kasus bisnis yang dibuat dengan baik akan membantu memastikan bahwa keuntungan proyek teridentifikasi, dan diawasi secara terus menerus. 5. Tahap 5 –Execute Plan Tahap 5 mengubah solusi yang disarankan menjadi kegiatan hari per hari dan menetapkan perhitungan dan sistem pemantauan untuk memastikan kesesuaian dengan bisnis tercapai dan kinerja dapat diukur. Kesuksesan membutuhkan pendekatan, kesadaran dan komunikasi, pengertian dan komitmen dari manajemen tingkat tinggi dan kepemilikan dari pemilik proses TI dan bisnis yang terpengaruh. 6. Tahap 6 –Realede Benefits Tahap 6 berfokus dalam transisi berkelanjutan dari pengelolaan dan praktik manajemen yang telah ditingkatkan ke operasi bisnis normal dan pemantauan pencapaian dari peningkatan menggunakan metrik kinerja dan keuntungan yang diharapkan. 7. Tahap 7 –Review Effectiveness Tahap 7 mengevaluasi kesuksesan dari inisiatif secara umum, mengidentifikasi kebutuhan tata kelola atau manajemen lebih jauh, dan meningkatkan kebutuhan akan peningkatan secara terus-menerus. Tahap ini juga memprioritaskan kesempatan lebih banyak untuk meningkatkan GEIT. Gambar 2.4 Implementasi COBIT ISACA, 2012

2.3.3 Proses Dalam Framework COBIT 5

Dalam COBIT 5 saat ini terbagi menjadi 5 Domain yang terdiri dari 37 proses, berikut merupakan 37 model proses COBIT 5ISACA, 2012:74: Gambar 2.5 37 Proses dalam COBIT 5 Berikut merupakan penjabaran sub domain yang dimiliki oleh masing- masing domain yaitu sebagai berikut: 1. Domain EDM Evaluate, Direct and Monitor Proses tata kelola ini berurusan dengan tujuan tata pemangku kepentingan dalam melakukan penilaian, optimasi risiko dan sumber daya, mencakup praktek dan kegiatan yang bertujuan untuk mengevaluasi pilihan strategis, memberikan arahan kepada TI dan pemantauan hasilnya. Terdiri dari 5 sub domain dan key governance practice masing-masing, yaitu: a. EDM01 Ensure Governance Framework Setting and Maintenance 1 EDM01.01 Evaluate the governance system. 2 EDM01.02 Direct the governance system. 3 EDM01.03 Monitor the governance system. b. EDM02 Ensure Benefit Delivery 1 EDM02.01 Evaluate value optimisation. 2 EDM02.02 Direct value optimisation. 3 EDM02.03 Monitor value optimisation. c. EDM03 Ensure Risk Optimisation 1 EDM03.01 Evaluate risk management. 2 EDM03.02 Direct risk management. 3 EDM03.03 Monitor risk management. d. EDM04 Ensure Resource Optimisation 1 EDM04.01 Evaluate resource management. 2 EDM04.02 Direct resource management. 3 EDM04.03 Monitor resource management. e. EDM05 Ensure Stakeholder Transparency 1 EDM05.01 Evaluate stakeholder reporting requirements. 2 EDM05.02 Direct stakeholder communication and reporting. 3 EDM05.03 Monitor stakeholder communication 2. Domain APO Align, Plan and Organise Memberikan arah untuk pengiriman solusi BAI dan penyediaan layanan dan dukungan DSS. Domain ini mencakup strategi dan taktik, dan mengidentifikasi kekhawatiran cara terbaik TI agar dapat berkontribusi pada pencapaian tujuan bisnis. Realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Sebuah organisasi yang tepat, serta infrastruktur teknologi, harus dimasukkan ke dalam tempatnya. Sub domain nya terdiri dari: a. APO01 Manage the IT Management Framework 1 APO01.01 Define the organisational structure. 2 APO01.02 Establish roles and responsibilities. 3 APO01.03 Maintain the enablers of the management system. 4 APO01.04 Communicate Management Objectives and Direction 5 APO01.05 Optimisation the Placement of the IT Function. 6 APO01.06 Define Information data and System Ownership. 7 APO01.07 Manage Continual Improvement of Processes. 8 APO01.08 Ensure Compliance with Policies and Procedures. b. APO02 Manage Strategy Mengelola Strategi 1 APO02.01 Understand enterprise direction. 2 APO02.02 Assess the current environment, capabilities and performance. 3 APO02.03 Define the target IT capabilities. 4 APO02.04 Conduct a gap analysis. 5 APO02.05 Define the strategic plan and road map. 6 APO02.06 Communicate the IT strategy and direction. c. APO03 Manage Enterprise Architecture 1 APO03.01 Develop the enterprise architechture vision 2 APO03.02 Define reference architechture 3 APO03.03 Select opportunities and solutions 4 APO03.04 Define architechture implementation 5 APO03.05 Provide enterprise architechture services d. APO04 Manage Innovation 1 APO04.01 Create an environment conducive to innovation. 2 APO04.02 Maintain an understanding of the enterprise environment. 3 APO04.03 Monitor and scan the technology environment. 4 APO04.04 Assess the potential of emerging technologies and innovation ideas. 5 APO04.05 Recommend appropriate further initiatives. 6 APO04.06 Monitor the implementation and use of innovation. e. APO05 Manage Portfolio 1 APO05.01 Establish Target Investment Mix. 2 APO05.02 Determine The Availability and Sources of Funds. 3 APO05.03 Evaluate and Select Programmes to Fund. 4 APO05.04 Monitor, Optimise and Report on Investment Portfolio Investment. 5 APO05.05 Maintain Portfolios. 6 APO05.06 Manage Benefits Achievement. f. APO06 Manage Budget and Costs 1 APO06.01 Manage finance and accounting. 2 APO06.02 Prioritise resource allocations. 3 APO06.03 Create and maintain budgets. 4 APO06.04 Model and allocate costs. 5 APO06.05 Manage costs. g. APO07 Manage Human Resources 1 APO07.01 Maintain adequate and appropriate staffing. 2 APO07.02 Identify key IT personnel. 3 APO07.03 Maintain the skills and competencies of personnel. 4 APO07.04 Evaluate employee job performance. 5 APO07.05 Plan and track the usage of IT and business human resources. 6 APO07.06 Manage contract staff. h. APO08 Manage Relationships 1 APO08.01 Understand business expectations. 2 APO08.02 Identify opportunities, risks and constraints for IT to enchance the business. 3 APO08.03 Manage business relationship. 4 APO08.04 Co-ordinate and communicate. 5 APO08.05 Provide input to the continual improvement of services. i. APO09 Manage Service Agreements 1 APO09.01 Identify IT services. 2 APO09.02 Catalogue IT-enabled services. 3 APO09.03 Define and prepare service agreements. 4 APO09.04 Monitor and report service levels. 5 APO09.05 Review service agreements and contracts. j. APO10 Manage Suppliers 1 APO10.01 Identify and evaluate supplier relationships and contracts. 2 APO10.02 Select suppliers. 3 APO10.03 Manage supplier relationships and contracts 4 APO10.04 Manage supplier risk. 5 APO10.05 Monitor supplier performance and compliance. k. APO11 Manage Quality 1 APO11.01 Establish a quality management system QMS. 2 APO11.02 Define and manage quality standards, practices and procedures. 3 APO11.03 Focus quality management on customers. 4 APO11.04 Perform quality monitoring, control and reviews. 5 APO11.05 Integrate quality management into solutions for development and service delivery. 6 APO11.06 Ensure Continuous Improvement. l. APO12 Manage Risk 1 APO12.01 Collect data. 2 APO12.02 Analyse risk. 3 APO12.03 Maintain a risk profile. 4 APO12.04 Articulate risk. 5 APO12.05 Define a risk management action portfolio. 6 APO12.06 Respond to risk. m. APO13 Manage Security 1 APO13.01 Establish and maintain an information security management system ISMS. 2 APO13.02 Define and manage an information security risk treatment plan. 3 APO13.03 Monitor and review the ISMS. 3. Domain BAI Build, Acquire and Operate Memberikan solusi dan melewatinya sehingga akan berubah menjadi layanan. Untuk mewujudkan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau diperoleh, serta diimplementasikan dan terintegrasi ke dalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada juga dicakup oleh domain ini, untuk memastikan bahwa solusi terus memenuhi tujuan bisnis. Sub domain nya terdiri dari: a. BAI01 Manage Programmes and Projects 1 BAI01.01 Maintain a standard approach for programme and project management. 2 BAI01.02 Initiate a programme. 3 BAI01.03 Manage stakeholder engagement. 4 BAI01.04 Develop and mantain the programme plan. 5 BAI01.05 Launch and execute the programme. 6 BAI01.06 Monitor, control and report on the programme outcomes. 7 BAI01.07 Start up and initiate projects within a programme. 8 BAI01.08 Plan projects. 9 BAI01.09 Manage programme and project quality. 10 BAI01.10 Manage programme and project risk. 11 BAI01.11 Monitor and control a project. 12 BAI01.12 Execute a project. 13 BAI01.13 Close a project. 14 BAI01.14 Close a programme. b. BAI02 Manage Requirements Definition 1 BAI02.01 Define and maintain business functional and technical requirements. 2 BAI02.02 Perform a feasibility study and formulate alternative solutions. 3 BAI02.03 Manage requirements risk. 4 BAI02.04 Obtain approval of requirements and solutions. c. BAI03 Manage SolutionsIdentification and Build 1 BAI03.01 Design high-level solutions. 2 BAI03.02 Design detailed solution component. 3 BAI03.03 Develop solution components. 4 BAI03.04 Procure solution components. 5 BAI03.05 Build solutions. 6 BAI03.06 Perform quality assurance. 7 BAI03.07 Prepare for solution testing. 8 BAI03.08 Execute solution testing. 9 BAI03.09 Manage changes to requirement. 10 BAI03.10 Maintain Solutions 11 BAI03.11 Define IT services and maintain the service portfolio. d. BAI04 Manage Availability and Capacity 1 BAI04.01 Assess current availability, performance and capacity and create a baseline. 2 BAI04.02 Assess business impact. 3 BAI04.03 Plan for new or changed service requirements. 4 BAI04.04 Monitor and review availability and capacity. 5 BAI04.05 Investigate and address availability, performance and capacity issues. e. BAI05 Manage Organisational Change Enablement 1 BAI05.01 Establish the Desire to Change. 2 BAI05.02 Form an Effective Implementation Team. 3 BAI05.03 Communicate Desired Vision. 4 BAI05.04 Empower Role Players and Identify Short-term Wins. 5 BAI05.05 Enable Operation and Use. 6 BAI05.06 Embed New Approaches. 7 BAI05.07 Sustain Changes. f. BAI06 Manage Changes 1 BAI06.01 Perform impact assessment; prioritise and authorize changes 2 BAI06.02 Manage emergency changes. 3 BAI06.03 Track and report change status. 4 BAI06.04 Close and document the changes. g. BAI07 Manage Change Acceptance and Transitioning 1 BAI07.01 Establish an implementation plan. 2 BAI07.02 Plan Business Process, System and Data Conversion. 3 BAI07.03 Plan acceptance tests. 4 BAI07.04 Establish a test environment. 5 BAI07.05 Perform acceptance tests. 6 BAI07.06 Promote to production and manage releases. 7 BAI07.07 Provide early production support. 8 BAI07.08 Perform a post - implementation review. h. BAI08 Manage Knowledge 1 BAI08.01 Nurture and facilitate a knowledge-sharing culture. 2 BAI08.02 Identify and classify sources of information. 3 BAI08.03 Organise and contextualise information into knowledge. 4 BAI08.04 Use and share knowledge. 5 BAI08.05 Evaluate and retire information. i. BAI09 Manage Assets 1 BAI09.01 Identify and record current assets. 2 BAI09.02 Manage critical assets. 3 BAI09.03 Manage the asset life cycle. 4 BAI09.04 Optimise asset costs. 5 BAI09.05 Manage licences. j. BAI10 Manage Copnfiguration 1 BAI10.01 Establish and mantain a configuration model. 2 BAI10.02 Establish and maintain a configuration respository and a baseline. 3 BAI10.03 Maintain and control configuration items. 4 BAI10.04 Produce status and configuration reports. 5 BAI10.05 Verify and review integrity of the configuration repository. 4. Domain DSS Deliver, Service and Support a. DSS01 Manage Operations 1 DSS01.01 Perform operational procedures. 2 DSS01.02 Manage outsourced IT services. 3 DSS01.03 Monitor IT infrastructure. 4 DSS01.04 Manage the environment. 5 DSS01.05 Manage facilities. b. DSS02 Manage Service Requests and Incidents 1 DSS02.01 Define incident and service request classification schemes. 2 DSS02.02 Record, classify and prioritise requests and incidents. 3 DSS02.03 Verify, approve and fulfill service request. 4 DSS02.04 Investigate, diagnose and allocate incidents. 5 DSS02.05 Resolve and recover from incidents. 6 DSS02.06 Close service requests and incidents. 7 DSS02.07 Track status and produce reports. c. DSS03 Manage Problems 1 DSS03.01 Identify and classify problems. 2 DSS03.02 Investigate and diagnose problems. 3 DSS03.03 Raise known errors. 4 DSS03.04 Resolve and close problems. 5 DSS03.05 Perform proactive problem management. d. DSS04 Manage Continuity 1 DSS04.01 Define the business continuity policy, objectives, and scope. 2 DSS04.02 Maintain a continuity strategy. 3 DSS04.03 Maintain a continuity strategy. 4 DSS04.04 Exercise, test, and review the BCP. 5 DSS04.05 Review, maintain and improve the continuity plan. 6 DSS04.06 Conduct continuity plan training. 7 DSS04.07 Manage backup arrangements. 8 DSS04.08 Conduct a post – resumption review. e. DSS05 Manage Security Services 1 DSS05.01 Protect against malware. 2 DSS05.02 Manage network and connectivity security. 3 DSS05.03 Manage endpoint security. 4 DSS05.04 Manage user identity and logical access. 5 DSS05.05 Manage physical access to IT assets. 6 DSS05.06 Manage sensitive documents and output devices. 7 DSS05.07 Monitor the infrastructure for security-related events. f. DSS06 Manage Business Process Controls 1 DSS06.01 Align control activities embedded in business processes with enterprise objectives. 2 DSS06.02 Control the processing of information. 3 DSS06.03 Manage roles, responsibilities, access privileges and levels of authority. 4 DSS06.04 Manage errors and exceptions. 5 DSS06.05 Ensure traceability of information events and accountabilities. 6 DSS06.06 Secure information assets. 5. Domain MEA Monitor, Evaluate and Assess Menerima solusi dan dapat digunakan bagi pengguna akhir. Domain ini berkaitan dengan pengiriman aktual dan dukungan layanan yang dibutuhkan, yang meliputi pelayanan, pengelolaan keamanan dan kelangsungan, dukungan layanan bagi pengguna, dan manajemen data dan fasilitas operasional. Subdomainnya terdiri dari: a. MEA01 Monitor, Evaluate and Assess Performance and Conformance 1 MEA01.01 Establish a monitoring approach. 2 MEA01.02 Set performance and conformance targets. 3 MEA01.03 Collect and process performance and conformance data. 4 MEA01.04 Analyse and report performance. 5 MEA01.05 Ensure the implementation of corrective actions. b. MEA02 Monitor, Evaluate and Assess the System of Internal Control 1 MEA02.01 Monitor internal controls. 2 MEA02.02 Review business process controls effectiveness. 3 MEA02.03 Perform control self-assessments. 4 MEA02.04 Identify and report control deficiencies. 5 MEA02.05 Ensure that assurance providers are independent and qualified. 6 MEA02.06 Plan assurance initiatives. 7 MEA02.07 Scope assurance initiatives. 8 MEA02.08 Execute assurance initiatives. c. MEA03 Monitor, Evaluate and Assess Compliance with External Requirements 1 MEA03.01 Identify external compliance requirements. 2 MEA03.02 Optimise response to external requirements. 3 MEA03.03 Confirm external compliance. 4 MEA03.04 Obtain assuramce of external compliance.

2.3.4 Deskripsi Proses COBIT 5

Berikut ini merupakan daftar proses COBIT 5 yang dilakukan evaluasi beserta penjelasan mengenai masing-masing prosesnya:

1. Proses EDM01 -Ensure Governance Framework Setting and

Maintenance Menurut ISACA 2012, deskripsi dari proses EDM01 adalah menganalisa keperluan untuk tata kelola TI perusahaan, dan menempatkan dan memelihara keefektifan struktur yang ada, prinsip, proses-proses dan praktiknya. Dengan kejelasan dari tanggung jawab dan wewenang untuk mencapai misi, sasaran dan tujuan perusahaan. Tujuan dari proses ini adalah menyediakan pendekatan yang konsisten terintegrasi dan selaras dengan pendekatan tata kelola perusahaan. Untuk memastikan bahwa keputusan itu terkait dibuat sejalan dengan strategi dan tujuan perusahaan itu, memastikan bahwa proses itu terkait diawasi efektif dan transparan, sesuai dengan persyaratan hukum dan peraturan dikonfirmasi, dan persyaratan tata kelola untuk anggota dewan terpenuhi.

2. Proses EDM02 – Ensure Benefits Delivery

Menurut ISACA 2012, deskripsi dari proses EDMD02 adalah mengoptimalkan nilai kontribusi bisnis dari bisnis proses, servis TI dan aset TI hasil dari investasi yang dilakukan oleh TI sesuai dengan biaya dari perusahaan. Tujuan dari proses ini adalah mengamankan nilai optimal dari pengadaan TI, servis dan aset, efisiensi biaya dari solusi dan servis, dan sebuah kehandalan juga penggambaran yang akurat tentang biaya dan keuntungan. Jadi bisnis itu perlu dukungan dari keefektifan dan efisiensi.

3. Proses EDM03 - Ensure Risk Optimisation

Menurut ISACA 2012, deskripsi dari proses EDM03 adalah memastikan besarnya resiko dan toleransi yang dapat diterima perusahaan dimengerti, diartikulasi serta dikomunikasikan, dan dilakukan kegiatan pengidentifikasian dan pengelolaan resiko-resiko yang berhubungan dengan nilai TI pada perusahaan. Tujuan dari proses tersebut adalah memastikan bahwa resiko TI perusahaan tidak melebihi kemampuan dan toleransi perusahaan dalam menerima resiko, serta mengidentifikasi dan mengelola dampak dari resiko TI terhadap nilai-nilai pada perusahaan, dan mengurangi terjadinya kegagalan.

4. Proses EDM04 - Ensure Resource Optimisation

Menurut ISACA 2012, deskripsi dari proses EDM04 adalah memastikan kemampuan TI yang memadai karyawan, proses, dan teknologi untuk mendukung tujuan perusahaan secara efektif dengan biaya yang optimal. Tujuan dari proses tersebut adalah memastikan sumber daya yang dibutuhkan perusahaan terpenuhi secara optimal, biaya TI ditekan secara optimal, dan juga memastikan kemungkinan bertambahnya keuntungan dan kesediaan untuk perubahan di masa depan.

5. Proses EDM05 – Ensure Stakeholder Transparency

Menurut ISACA 2012 deskripsi dari proses ini adalah memastikan performa dan kecocokan TI perusahaan yang dilaporkan secara transparan, dengan persetujuan dari pemangku kepentingan tentang tujuan dan metriks serta perbaikan tindakan yang sesuai. Tujuan dari proses ini adalah memastikan komunikasi ke pemangku kepentingan secara efektif dan tepat waktu dengan berbasis dari penyusunan untuk meningkatkan performa, identifikasi area untuk perbaikan, dan konfirmasi tujuan dan strategi TI sejalan dengan strategi perusahaan. 6. Proses APO01 - Manage The IT Management Framework Menurut ISACA 2012, deskripsi dari proses APO01 adalah mengklarifikasi dan menjaga pengelolaan atas misi dan visi departemen TI. Mengimplementasi dan menjaga mekanisme dan otoritas untuk mengelola informasi dan penggunaan TI dalam perusahaan untuk mendukung tujuan pengelolaan, sejalan dengan prinsip-prinsip dan kebijakan-kebijakan. Tujuan dari proses tersebut adalah menyediakan pendekatan pengelolaan yang konsisten untuk memungkinkan kebutuhan pengelolaan perusahaan terpenuhi, termasuk proses manajemen, struktur organisasi, peran dan tanggung jawab, aktivitas yang bisa diandalkan dan bisa diulang, dan kemampuan dan kompetensi.

7. Proses APO02 – Manage Strategy

Menurut ISACA 2012 deskripsi dari proses APO02 adalah menyediakan gambaran bisnis dan lingkungan TI terkini, tujuan yang akan datang, dan memulai untuk berusaha untuk melihat lingkungan di masa yang akan datang. Tujuan dari proses ini adalah menyelaraskan rencana strategi TI dengan tujuan bisnis. Dengan komunikasi tujuana tersebut dengan baik maka akan dimengerti oleh semuany, dengan pilihan strategi TI telah diidentifikasi, terstruktur dan terintegrasi dengan rencana bisnis.

8. Proses APO03 - Manage Enterprise Architecture

Menurut ISACA 2012, deskripsi dari proses APO03 adalah membangun arsitektur pada umumnya yang terdiri dari proses bisnis, informasi, data, aplikasi, dan layer arsitektur teknologi dengan tujuan mewujudkan strategi perusahaan dan strategi TI secara efektif dan efisien dengan cara menciptakan model kunci dan praktek-praktek yang mendeskripsikan arsitektur saat ini dan target arsitektur. Menetapkan persyaratan dalam taksonomi, standar, pedoman, prosedur, template, dan alat, dan menghubungkan komponen-komponen. Meningkatkan keterpaduan, ketangkasan, kualitas informasi, dan menghasilkan penghematan biaya potensial melalui inisiatif seperti penggunaan kembali komponen-komponen building block. Tujuan dari proses tersebut adalah merepresentasikan building block yang berbeda yang membentuk perusahaan dan antar-hubungannya serta prinsip-prinsip dalam memandu design dan evolusi mereka dari waktu ke waktu, memungkinkan perwujudan tujuan operasional dan strategis yang terstandarisasi, responsif, dan efisien.

9. Proses APO04 - Manage Innovation

Menurut ISACA 2012, deskripsi dari proses APO04 adalah menjaga kesadaran akan tren mengenai TI dan layanan sejenis, mengidentifikasi kesempatan inovasi, dan merencanakan bagaimana caranya untuk mendapatkan keuntungan dari inovasi dalam kaitannya dengan kebutuhan bisnis. Analisa kesempatan apa yang ada untuk inovasi bisnis atau perbaikan yang bisa dibuat dengan teknologi baru, layanan atau inovasi dibidang TI bisnis, analisa pula teknologi yang sudah ada dan inovasi bisnis dan proses TI yang mempengaruhi perencanaan strategis dan keputusan arsitektural perusahaan. Tujuan dari proses tersebut adalah mencapai keunggulan kompetitif, inovasi bisnis, dan peningkatan efektifitas dan efisiensi operasional dengan mengeksploitasi perkembangan TI.

10. Proses APO05 - Manage Portfolio

Menurut ISACA 2012, deskripsi dari proses APO05 adalah mengeksekusi arahan strategis untuk investasi sejalan dengan visi arsitektur perusahaan dan karakteristik yang diinginkan atas investasi tersebut dan portofolio layanan terkait, dan mempertimbangkan kategori-kategori inestasi berbeda dan sumber daya dan tantangan-tantangan pendanaan, berdasarkan kesesuainnya dengan tujuan strategis, dan risiko bagi perusahaan. Memindahkan program yang terpilih kedalam portofolio layanan aktif untuk eksekusi. Mengawasi performa dari semua layanan dan program, mengajukan penyesuaian apabila dibutuhkan sebagai respon dari performa layanan dan program atau perubahan dalam prioritas perusahaan. Tujuan dari proses tersebut adalah mengoptimalkan performa dari portofolio program-program dalam respon terhadap performa program dan layanan, dan perubahan dalam proritas dan permintaan perusahaan.

11. Proses APO06 - Manage Budget and Costs

Menurut ISACA 2012, deskripsi dari proses APO06 adalah mengelola kegiatan TI yang berhubungan dengan keuangan baik dalam fungsi bisnis dan fungsi TI yang meliputi anggaran, manajemen biaya dan manfaat, dan prioritas dalam penggunaan praktek anggaran formal dan sistem pengalokasikan biaya perusahaan secara adil dan merata. Konsultasi dengan stakeholder untuk mengidentifikasi dan mengontrol total biaya dan manfaat dalam konteks rencana strategis dan taktis TI, dan memulai tindakan korektif apabila diperlukan. Tujuan dari proses tersebut adalah mengembangkan kemitraan antara stakeholder perusahaan dan stakeholder TI untuk memungkinkan penggunaan sumber daya TI yang efektif dan efisien dan menyediakan transparansi dan akuntabilitas nilai biaya dan nilai bisnis untuk solusi dan layanan. Memungkinkan perusahaan untuk membuat keputusan mengenai solusi dan layanan penggunaan TI.

12. Proses APO07 - Manage Human Resources

Menurut ISACA 2012, deskripsi dari proses APO07 adalah menyediakan pendekatan terstruktur untuk memastikan penataan, penempatan, keputusan, dan keterampilan sumber daya manusia yang optimal. Hal ini termasuk mengkomunikasikan peran dan tanggung jawab, rencana pembelajaran dan pengembangan, dan ekspektasi kinerja yang didukung oleh staf-staf kompeten dan termotivasi. Tujuan dari proses tersebut adalah mengoptimalkan kemampuan sumber daya manusia untuk memenuhi tujuan perusahaan.

13. Proses APO08 - Manage Relationship

Menurut ISACA 2012, deskripsi dari proses APO08 adalah mengelola hubungan antara bisnis dan TI dengan cara yang formal dan transparan untuk memastikan fokus pada pencapaian tujuan bersama yaitu tujuan kesuksesan perusahaan yang mendukung tujuan strategis dan sesuai dengan kendala anggaran dan toleransi risiko. Basis hubungan dasar yaitu kepercayaan, menggunakan istilah terbuka dan mudah dimengerti, bahasa umum, dan rasa kepemilikan dan akuntabilitas untuk keputusan penting. Tujuan dari proses tersebut adalah membuat hasil yang lebih baik, meningkatkan kepercayaan diri, kepercayaan akan TI, dan penggunaan sumber daya secara efektif.

14. Proses APO09 - Manage Service Agreements

Menurut ISACA 2012, deskripsi dari proses APO09 adalah menyelaraskan layanan berbasis TI dan tingkat layanan dengan kebutuhan dan harapan perusahaan, termasuk identifikasi, spesifikasi, design, publishing, persetujuan, dan pemantauan layanan TI, tingkat layanan, dan indikator kinerja. Tujuan dari proses tersebut adalah memastikan bahwa layanan TI dan tingkat layanan memenuhi kebutuhan perusahaan saat ini dan masa mendatang.

15. Proses APO10 - Manage Suppliers

Menurut ISACA 2012, deskripsi dari proses APO10 adalah mengelola layanan terkait TI yang diberikan oleh semua jenis supplier untuk memenuhi kebutuhan perusahaan, termasuk pemilihan supplier, pengelolaan hubungan, manajemen kontrak, dan meninjau serta memantau kinerja supplier untuk menilai efektivitas dan kesesuaian. Tujuan dari proses tersebut adalah meminimalkan risiko yang terkait dengan non-performing supplier dan memastikan harga yang kompetitif.

16. Proses APO11 - Manage Quality

Menurut ISACA 2012, deskripsi dari proses APO11 adalah mendefinisikan dan mengkomunikasikan persyaratan kualitas dalam seluruh proses, prosedur, dan hasil termasuk kontrol, pemantauan, dan penggunaan praktek dan standar yang terbukti untuk upaya perbaikan terus-menerus dan efisiensi. Tujuan dari proses tersebut adalah memastikan pencapaian solusi dan layanan yang konsisten untuk memenuhi persyaratan kualitas perusahaan dan memenuhi kebutuhan stakeholder.

17. Proses APO12 - Manage Risk

Menurut ISACA2012, deskprisi dari proses APO12 adalah secara terus- menerus mengidentifikasi, menilai dan mengurangi resiko yang berhubungan dengan TI didalam level toleransi yang ditentukan oleh manajemen perusahaan. Tujuan dari proses tersebut mengintegrasikan management dari risiko TI perusahaan dengan keseluruhan ERM Enterprise Risk Management, dan menyeimbangkan biaya dan keuntungan dari mengelola resiko TI perusahaan.

18. Proses APO13 - Manage Security

Menurut ISACA2012, deskripsi dari proses APO13 adalah mendefinisikan, mengoperasikan dan mengawasi sistem untuk manajemen keamanan informasi. Tujuan dari proses tersebut adalah menjaga agar dampak dan kejadian dari insiden keamanan informasi masih berada pada level risiko yang dapat diterima perusahaan.

19. Proses BAI01 - Manage Programmes and Projects

Menurut ISACA 2012, deskripsi dari proses BAI01 adalah mengelola semua program dan proyek dari portofolio investasi sejalan dengan strategi perusahaan dan dalam cara yang terkoordinasi. Inisiasi, rencanakan, kontrol, dan jalankan program dan proyek, dan tutup dengan review setelah implementasi. Tujuan dari proses tersebut adalah menyadari keuntungan bisnis dan mengurangi risiko penundaan yang tak diharapkan, biaya dan pengurangan nilai dengan memperbaiki komunikasi dan pelibatan bisnis dan pengguna, memastikan nilai dan kualitas hasil proyek dan memaksimalkan kontribusinya terhadap investasi dan portofolio layanan.

20. Proses BAI02 - Manage Requirement Definitions

Menurut ISACA 2012, deskripsi dari proses BAI02 adalah mengidentifikasi solusi dan menganalisis persyaratan sebelum akuisisi atau pembuatan untuk memastikan bahwa semuanya sesuai dengan persyaratan strategis perusahaan yang meliputi proses bisnis, aplikasi, informasidata, infrastruktur, dan layanan. Berkoordinasi dengan stakeholder yang terkait untuk meninjau pilihan-pilihan yang layak termasuk biaya dan manfaat, analisis risiko, dan persetujuan persyaratan, dan solusi yang diusulkan. Tujuan dari proses tersebut adalah menciptakan solusi optimal yang memenuhi kebutuhan perusahaan dan dapat meminimalkan risiko.

21. Proses BAI03 – Manage Solutions Identification and Build

Menurut ISACA 2012, deskripsi dari proses BAI03 adalah untuk menetapkan dan memelihara identifikasi solusi selaras dengan keperluan perusahaan yang menangani desain, pengembangan, pengadaan dan bekerja sama dengan pemasok. Mengatur konfigurasi, tes persiapan, uji coba, keperluan manajemen dan pemeliharaan dari bisnis proses, aplikasi, data, infrastuktur dan servis. Tujuan dari proses ini adalah menetapkan waktu dan kemampuan solusi efektifitas biaya untuk mendukung strategi perusahaan dan tujuan operasional.

22. Proses BAI04 - Manage Availability and Capacity

Menurut ISACA 2012, deskripsi dari proses BAI04 adalah menyeimbangkan kebutuhan saat ini dan masa mendatang baik dalam segi ketersediaan, kinerja, dan kapasitas dengan penyediaan layanan dengan biaya efektif. Termasuk penilaian kemampuan saat ini, peramalan kebutuhan masa mendatang berdasarkan kebutuhan bisnis, analisis dampak bisnis, dan penilaian risiko untuk merencanakan dan melaksanakan tindakan dalam memenuhi persyaratan yang teridentifikasi. Tujuan dari proses tersebut adalah menjaga ketersediaan layanan, manajemen sumber daya yang efisien, dan mengoptimalkan kinerja sistem melalui prediksi kinerja masa depan dan kebutuhan kapasitas.

23. Proses BAI05 - Manage Organisational Change Enablement

Menurut ISACA 2012, deskripsi dari proses BAI05 adalah memaksimalkan keberhasilan dalam mengimplementasikan perubahan organisasi yang berkelanjutan dengan cepat dan dengan penurunan risiko, meliputi perubahan siklus hidup secara lengkap dan semua stakeholder yang terkait dalam bisnis dan TI. Tujuan dari proses tersebut adalah menyiapkan dan melakukan komitmen dengan stakeholder untuk perubahan bisnis dan mengurangi risiko kegagalan.

24. Proses BAI06 - Manage Changes

Menurut ISACA 2012, deskripsi dari proses BAI06 adalah mengelola semua perubahan dengan terkendali, termasuk perubahan standar dan perawatan darurat yang berkaitan dengan proses bisnis, aplikasi dan infrastruktur. Termasuk prosedur perubahan standar, penilaian dampak, prioritasi dan otorisasi, perubahan darurat, pelacakan, pelaporan, penutupan dan dokumentasi. Tujuan dari proses tersebut adalah memungkinkan perubahan yang cepat dan bisa diandalkan bagi bisnis dan mitigasi risiko yang berdampak negatif bagi stabilitas lingkungan yang diubah.

25. Proses BAI07 - Manage Change Acceptance and Transitioning

Menurut ISACA 2012, deskripsi dari proses BAI07 adalah menerima secara formal dan mengoperasionalkan solusi baru, termasuk implementasi dan perencanaan, konversi sistem dan data, UAT, komunikasi, persipan pelepasan, memasukkan proses bisnis baru atau proses bisnis yang berubah dan layanan TI ke lingkungan produksi, dukungan masa-masa awal, dan review setelah implementasi. Tujuan dari proses tersebut adalah mengimplementasikan solusi dengan aman dan sejalan dengan ekspektasi dan hasil yang sudah disetujui.

26. Proses BAI08 - Manage Knowledge

Menurut ISACA 2012, deskripsi dari proses BAI08 adalah mempertahankan ketersediaan dari pengetahuan relevan, saat ini, yang sudah divalidasi dan dapat dipercaya untuk mendukung seluruh aktivitas proses dan memfasilitasikan pembuatan keputusan. Merencanakan untuk pengidenftifikasian, pengumpulan, pengorganisasian, pemeliharaan, penggunaan dan penghapusan dari pengetahuan. Tujuan dari proses tersebut adalah menyediakan pengetahuan yang dibutuhkan untuk mendukung seluruh staff dalam aktivitas pekerjaannya dan untuk menginformasikan pembuatan keputusan dan meningkatkan produktivitas.

27. Proses BAI09 - Manage Assets

Menurut ISACA 2012, deskripsi dari proses BAI09 adalah mengelola aset melalui siklus hidupnya untuk memastikan agar aset memberikan nilai pada biaya yang optimal, tetap operasional, dicatat dan secara fisik dilindungi, dan aset yang penting untuk mendukung kemampuan servis tetap tersedia. Mengelola lisensi software untuk memastikan agar nomor optimal didapatkan, dipertahankan dan dikerahkan dengan hubungan dalam kebutuhan bisnis, dan software yang diinstal pada perusahaan sesuai dengan persetujuan lisensi. Tujuan dari proses tersebut adalah pencatatan seluruh aset TI dan pengoptimalisasian nilai yang diberikan oleh aset tersebut.

28. Proses BAI10 - Manage Configuration

Menurut ISACA 2012, deskripsi dari proses BAI10 adalah mendefinisikan dan mempertahankan deskripsi dan hubungan antara sumber daya kunci dan kemampuan yang dibutuhkan untuk penyampaian layanan TI, meliputi pengumpulan informasi mengenai konfigurasi, menetapkan baseline, memverifikasi dan mengaudit informasi konfigurisasi, dan memperbarui repositori konfigurisasi. Tujuan dari proses tersebut adalah menyediakan informasi yang cukup tentang aset layanan untuk memungkinkan layanan secara efektif dikelola, menilai dampak perubahan dan berurusan dengan insiden layanan.

29. Proses DSS01 - Manage Operations

Menurut ISACA 2012, deskripsi dari proses DSS01 adalah mengkoordinasikan dan mengeksekusi aktivitas dan prosedur operasional yang dibutuhkan untuk menghasilkan layanan TI internal maupun outsourced, termasuk eksekusi atas SOP dan aktivitas pemantauannya. Tujuan dari proses tersebut adalah menghasilkan layanan operasional TI seperti yang direncanakan.

30. Proses DSS02 – Manage Service Requests and Incidents.

Menurut ISACA 2012, deskripsi dari proses DSS02 adalah menyediakan waktu dan respon yang efektif untuk permintaan dan resolusi pemakai dari semua tipe kejadian. Memperbaiki servis, dokumen, dan memenuhi permintaan pemakai. Tujuan dari proses ini adalah mencapai pertumbuhan produksi dan meminimalkan gangguan melalui perbaikan cepat dari pertanyaan dan kejadian dari pemakai.

31. Proses DSS03 - Manage Problems

Menurut ISACA 2012, deskripsi dari proses DSS03 adalah mengidentifikasi dan mengklasifikasi problem dan penyebabnya dan menyediakan resolusi dengan jangka waktu untuk mencegah terulangnya insiden dan memberikan rekomendasi untuk perbaikan. Tujuan dari proses tersebut adalah meningkatkan ketersediaan, memperbaiki level layanan, mengurangi biaya, dan meningkatkan kenyaman pelanggan, serta kepuasan dengan mengurangi jumlah problem operasional.

32. Proses DSS04 - Manage Continuity

Menurut ISACA 2012, deskripsi dari proses DSS04 adalah menetapkan dan menjaga rencana untuk memungkinkan bisnis dan TI merespon insiden dan gangguan dalam upaya melanjutkan operasi proses bisnis yang penting dan layanan TI yang dibutuhkan dan menjaga ketersediaan informasi di tingkat yang bisa diterima perusahaan. Tujuan dari proses tersebut adalah melanjutkan operasi proses bisnis yang penting dan menjaga ketersediaan informasi di tingkat yang bisa diterima perusahaan ketika terjadi gangguan yang signifikan.

33. Proses DSS05 - Manage Security Services

Menurut ISACA 2012, deskripsi dari proses DSS05 adalah melindungi informasi perusahaan untuk mempertahankan tingkatan dari keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijaksanaan keamanan. Menetapkan dan mempertahankan peran keamanan informasi dan hak akses dan melakukan pengawasan keamanan. Tujuan dari proses tersebut adalah meminimalisasikan dampak bisnis dari kerentanan dan insiden dari keamanan informasi operasional.

34. Proses DSS06 – Manage Business Process Controls

Menurut ISACA 2012, deskripsi dari proses DSS06 adalah mendefinisikan dan memelihara ketepatan kontrol bisnis proses untuk memastikan informasi terkait dan proses dari internal atau dari luar dapat memenuhi informasi yang relevan. Tujuan proses ini adalah untuk memelihara integrasi informasi dan keamanan dari aset informasi ditangani dengan proses-proses bisnis dalam perusahaan.

35. MEA01 - Monitor, Evaluate, and Assess Performance and

Conformance Menurut ISACA 2012, deskripsi dari proses MEA01 adalah mengumpulkan, memvalidasi, dan mengevaluasi bisnis, TI dan tujuan proses dan metrics. Mengawasi proses yang tidak sesuai dengan ketentuan dan tujuan yang ditentukan dan menyediakan kegiatan pelaporan yang sistematik dan tepat waktu. Tujuan dari proses tersebut adalah menyediakan transparansi performa dan kesesuaian dan mendorong pencapaian tujuan.

36. MEA02 - Monitor, Evaluate, and Assess the System of Internal

Control Menurut ISACA 2012, deskripsi dari proses MEA02 adalah secara terus- menerus mengawasi dan mengevaluasi lingkungan kontrol, termasuk penilaian diri sendiri, dan review dari assurance independen. Memungkinkan management untuk mengidenfitikasi kekurangan kontrol dan ketidakefektifan dan menginisialisasi aksi perbaikan. Merancang, mengorganisasi, dan mempertahankan standar untuk penilaian kontrol internal dan aktivitas assurance. Tujuan dari proses ini adalah mendapatkan tranparansi bagi stakeholder kunci untuk kecukupan pada kontrol sistem internal yang akan membuat mereka percaya pada kegiatan operational perusahaan, kepercayaan pada pencapaian dari tujuan perusahaan, dan pemahaman cukup terhadap risiko yang tersisa.

37. Proses MEA03

– Monitor, Evaluate, and assess compliance with external Requirements Menurut ISACA 2012, deskripsi proses MEA03 adalah mengevaluasi proses TI dan mendukung proses bisnis TI patuh pada hukum, regulasi dan berdasarkan perjanjian. Menghasilkan kepastian bahwa kebutuhan telah teridentifikasi dan mematuhinya, dan pemenuhan integrasi TI dengan seluruh pemenuhan perusahaan. Tujuan dari proses ini adalah memastikan bahwa perusahaan kompatibel dengan semua persyaratan eksternal yang berlaku.

2.3.5 Indikator Kapabilitas Proses dalam COBIT 5

Menurut ISACA 2012, indikator kapabilitas proses adalah kemampuan proses dalam meraih tingkat kapabilitas yang ditentukan oleh atribut proses. Bukti atas indikator kapabilitas proses akan mendukung penilaian atas pencapaian atribut proses. Dimensi kapabilitas dalam model penilaian proses mencakup enam tingkat kapabilitas. Di dalam enam tingkat tersebut terdapat indikator atribut proses. Tingkat 0 tidak memiliki indikator apapun, karena tingkat 0 menyatakan proses yang belum diimplementasikan atau proses yang gagal, meskipun sebagian, untuk mencapai hasil akhirnya. Kegiatan penilaian membedakan antara penilaian untuk level 1 dengan level yang lebih tinggi. Hal ini dilakukan karena level 1 menentukan apakah suatu proses mencapai tujuannya, dan oleh karena itu sangat penting untuk dicapai, dan juga menjadi pondasi dalam meraih level yang lebih tinggi. Menurut ISACA 2012, dalam penilaian di tiap levelnya, hasil akan diklasifikasikan dalam 4 kategori sebagai berikut: 1. N Not achievedtidak tercapai Dalam kategori ini tidak ada atau hanya sedikit bukti atas pencapaian atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 0-15. 2. P Partially achievedtercapai sebagian Dalam kategori ini terdapat beberapa bukti mengenai pendekatan, dan beberapa pencapaian atribut atas proses tersebut. Range nilai yang diraih pada kategori ini berkisar 15-50. 3. L Largely achievedsecara garis besar tercapai Dalam kategori ini terdapat bukti atas pendekatan sistematis, dan pencapaian signifikan atas proses tersebut, meski mungkin masih ada kelemahan yang tidak signifikan. Range nilai yang diraih pada kategori ini berkisar 50-85. 4. F Fully achievedtercapai penuh Dalam kategori ini terdapat bukti atas pendekatan sistematis dan lengkap, dan pencapaian penuh atas atribut proses tersebut. Tidak ada kelemahan terkait atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 85-100. Menurut ISACA 2012, suatu proses cukup meraih kategori Largely achieved L atau Fully achieved F untuk dapat dinyatakan bahwa proses tersebut telah meraih suatu level kapabilitas tersebut, namun proses tersebut harus meraih kategori Fully achieved F untuk dapat melanjutkan penilaian ke level kapabilitas berikutnya, misalnya bagi suatu proses untuk meraih level kapabilitas 3, maka level 1 dan 2 proses tersebut harus mencapai kategori Fully achieved F, sementara level kapabilitas 3 cukup mencapai kategori Largely achieved L atau Fully achieved F. Menurut ISACA 2012, untuk penilaian capability level terbagi menjadi level-level sebagai berikut: 0. Incomplete Process Proses tidak diterapkan atau gagal untuk mencapai tujuan prosesnya. Pada tingkat ini, ada bukti sedikit atau tidak ada dari setiap pencapaian sistematis tujuan proses. 1. Performed Process Proses dilaksanakan mencapai tujuan prosesnya. 2. Managed Process Proses sebelumnya dijelaskan dilakukan sekarang diimplementasikan dalam dikelola mode direncanakan, dimonitor dan disesuaikan dan produk pekerjaannya secara tepat ditetapkan, dikendalikan dan dipertahankan. 3. Established Process Proses sebelumnya dijelaskan dikelola sekarang diimplementasikan menggunakan Proses didefinisikan yang mampu mencapai hasil prosesnya. 4. Predictable process Proses sebelumnya dijelaskan didirikan sekarang beroperasi dalam didefinisikan batas untuk mencapai hasil prosesnya. 5. Optimising Process Proses yang telah dijelaskan sebelumnya, proses diprediksi terus ditingkatkan untuk memenuhi tujuan bisnis yang relevan saat ini dan proyeksi. Sedangkan untuk penjabaran dari masing-masing level adalah sebagai berikut ISACA, 2012:

1. Level 1 – Performed Process

Pada level ini menentukan apakah suatu proses mencapai tujuannya. Ketentuan atribut proses pada level 1 adalah sebagai berikut: PA 1.1 Process Performance Pengukuran mengenai seberapa jauh tujuan dari suatu proses berhasil diraih. Pencapaian penuh atas atribut ini mengakibatkan proses tersebut meraih tujuan yang sudah ditentukan, seperti ditunjukkan dalam tabel dibawah ini. Tabel 2.2 Process Performance PA 1.1 Process Performance Hasil atas pencapaian penuh atribut Praktik Umum GPs Hasil Kerja Umum GWPs Proses meraih tujuan yang sudah ditentukan GP 1.1.1 Meraih Hasil Proses. Ada bukti bahwa praktik-praktik dasar dilakukan Hasil kerja telah dibuat sehingga menyediakan bukti atas hasil proses.

2. Level 2 – Managed Process

Performa proses pada tahap ini dikelola yang mencakup perencanaan, monitor, dan penyesuaian. Work products-nya dijalankan, dikontrol, dikelola dengan tepat. Ketentuan atribut proses pada level 2 adalah sebagai berikut:

a. PA 2.1 Performance Management

Mengukur sampai mana performa proses di kelola. Sebagai hasil pencapaian penuh atribut ini, ditunjukkan dalam tabel berikut ini. Tabel 2.3 Performance Management PA 2.1 Performance Management Hasil atas pencapaian penuh atribut Praktik Umum GPs Hasil Kerja Umum GWPs a. Objektif performa dari proses teridentifikasi GP 2.1.1 Identifikasikan objektif performa dari proses. Objektif performa, digabungkan dengan assumsi dan batasan, didefinisikan dan dikomunikasikan GWP 1.0 Dokumentasi Proses harus menguraikan lingkup proses GWP 2.0 Rencana Proses harus menyediakan detil-detil dari objektif performa proses b. Performa dari proses direncanakan dan dimonitor GP 2.1.2 Merencanakan dan memonitor performa dari proses untuk memenuhi objektif yang telah ditentukan. Dasar mengukur performa proses yang berhubungan dengan objektif bisnis ditetapkan dan dimonitor. Termasuk didalam dasar tersebut adalah key milestones, aktivitas-aktivitas yang diperlukan,estimasi dan jadwal. GWP 2.0 Rencana Proses harus menggambarkan secara detil objektif performa proses. GWP 9.0 Performa Proses catatannya harus menggambarkan hasil yang detil. Catatan: Pada level ini, setiap catatan performa proses dapat berbentuk report, daftar masalah, dan catatan informal. c. Performa dari proses disesuaikan untuk memenuhi perencanaan GP 2.1.3 Menyesuaikan performa dari proses. Mengambil tindakan ketika performa yang direncanakan tidak tercapai. Tindakan meliputi identifikasi dari masalah performa dan penyesuaian rencana dan jadwal menjadi lebih sesuai. GWP 4.0 Catatan Kualitas harus menyediakan detil dari tindakan yang dilakukan ketika performa tidak mencapai target. d. Tanggung jawab dan otoritas dari melakukan proses didefinisikan, GP 2.1.4 Mendefinisikan tanggung jawab dan otoritas dalam melakukan proses. Tanggung jawab kunci dan otoritas dalam GWP 1.0 Dokumentasi Proses harus menyediakan detil dari pemilik proses dan siapa saja yang terlibat, ditugaskan, dan dikomunikasikan menjalankan aktivitas kunci dari proses di definisikan, ditugaskan dan dikomunikasikan.Pengala man yang dibutuhkan,pengetahuan dan keahlian ditetapkan. bertanggung jawab, dikonsultasikan danatau diinformasikan RACI. GWP 2.0 Rencana Proses harus meliputi detil dari process communication plan demikian juga pengalaman dan keahlian yang dibutuhkan dari menjalankan proses. e. Sumber daya dan informasi yang dibutuhkan untuk menjalankan proses diidentifikasi, disediakan, dialokasikan dan digunakan GP 2.1.5 Identifikasi dan sediakan sumber daya untuk melakukan proses sesuai dengan rencana. Sumber daya dan informasi yang dibutuhkan untuk menjalankan aktivitasa kunci dari proses diidentifikasi, disediakan, dialokasikan dan digunakan. GWP 2.0 Rencana Proses harus menyediakan detil dari proses perencanaan pelatihan dan proses perencanaan sumber daya. f. Antarmuka antara pihak yang terlibat dikelola untuk memastikan komunikasi efektif dan tugas yang jelas antar pihak yang terlibat. GP 2.1.6 Mengelola antarmuka antara pihak yang terlibat. Individu dan grup yang terlibat dengan proses diidentifikasi, tanggung jawab didefinisikan dan mekanisme komunikasi yang efektif diterapkan GWP 1.0 Dokumentasi Proses harus menyediakan detil dari invidu dan grup yang terlibatsupplier, customer, dan RACI. GWP 2.0 Rencana proses harus menyediakan detil dari process communication plan.

b. PA 2.2 Work Product Management