Bab 4. Evaluasi Pengendalian Sistem Informasi Penjualan. Pada PT Suka Sukses Sejati

Transkripsi

1 Bab 4 Evaluasi Pengendalian Sistem Informasi Penjualan Pada PT Suka Sukses Sejati 4.1 Rencana Evaluasi Evaluasi pengendalian sistem informasi memiliki peranan penting dalam perusahaan, karena dapat mendukung kegiatan operasional perusahaan agar dapat berjalan dengan efektif dan efisien. Proses evaluasi terhadap sistem informasi penjualan yang ada di dalam perusahaan. Evaluasi ini diawali dengan membuat sebuah rencana kerja yang berisi matrik mengenai penjelasan perencanaan yang akan dilakukan untuk mendapatkan data-data yang dibutuhkan dengan berbagai teknik yang digunakan seperti wawancara, pengamatan langsung pada perusahaan, kuesioner dan check-list. 67

2 Berikut ini adalah rencana kerja yang akan dilakukan: No Aktivitas Agustus September Oktober November Desember Januari Mencari perusahaan yang cocok 2. Membuat dan menyerahkan proposal 3. Membuat dan menyerahkan surat permohonan survei 4. Melakukan observasi terhadap kondisi perusahaan dan mengumpulkan data perusahaan seperti latar belakang perusahaan, struktur organisasi, sistem informasi penjualan yang berjalan dan lain-lain 5. Membuat daftar pertanyaan untuk diajukan kepada perusahaan terkait dengan business goals yang dievaluasi. 6. Menyerahkan pertanyaan kepada perusahaan 7. Melakukan perhitungan, analisa dan evaluasi berdasarkan jawaban dari pertanyaan yang diberikan. 8. Membuat rekomendasi dan mengusulkan perbaikan jika terdapat temuan yang tidak sesuai. 9. Membuat laporan evaluasi Tabel 4.1 Rencana Kerja Evaluasi 68

3 Kriteria Pengukuran Evaluasi Kriteria pengukuran evaluasi yang dilakukan terhadap sistem informasi penjualan pada PT. Suka Sukses Sejati adalah dengan menggunakan standart CobIT pada pendekatan Customer Perspective yang memiliki proses sebagai berikut : 1. Plan and Organise (PO) a. PO1 Define a Strategic IT Plan yaitu Menetapkan Rencana Strategis IT PO1.1 IT Value Management (Manajemen Penilaian Terhadap Manfaat IT) PO1.2 Business IT Alignment (Penyusunan Bisnis IT) PO1.3 Assessment of Current Capability and Performance (Penilaian Kemampuan dan Kinerja pada saat ini) PO1.4 IT Strategic Plan (Rencana Strategis IT) PO1.5 IT Tactical Plan (Rencana Taktis TI) PO1.6 IT Portfolio Management (Ketentuan Manajemen TI) b. PO2 Define The Information Architecture (Mendefinisikan Arsitektur Informasi) PO2.1 Enterprise Information Architecture Model (Modul Arsitektur Informasi Perusahaan) PO2.2 Enterprise Data Dictionary and Data Syntax Rules (Mendirikan Kamus Data dan Peraturan Data Syntax Perusahaan) PO2.3 Data Classification Scheme (Skema Data Klasifikasi) PO2.4 Integrity Management (Manajemen Integritas)

4 70 c. PO3 Determine Technological Direction (Menetapkan Arah Teknologi) PO3.1 Technological Direction Planning (Perencanaan Arah Teknologi) PO3.2 Technology Infrastructure Plan (Rencana Infrastruktur Teknologi) PO3.3 Monitor Future Trends And Regulations (Memantau Peraturan dan Trend Masa Depan) PO3.4 Technology Standards (Standard Teknologi) PO3.5 IT Architecture Board (Bagian Arsitektur TI) d. PO4 Define The IT Processes, Organisation And Relationships (Mendefinisikan Proses TI, Organisasi, dan Hubungannya) PO4.1 IT Process Framework (Kerangka Kerja Proses TI) PO4.2 IT Strategy Committee (Komite Strategis TI) PO4.3 IT Steering Committee (Komite Kerja TI) PO4.4 Organisational Placement Of The IT Function (Penempatan Organisasi Dari Fungsi TI) PO4.5 IT Organisational Structure (Struktur Organisasi TI ) PO4.6 Establishment Of Roles And Responsibilities (Membuat Peran dan Tanggung Jawab) PO4.7 Responsibility For IT Quality Assurance (Tanggung Jawab Untuk Memastikan Kualitas TI) PO4.8 Responsibility For Risk, Security And Compliance (Tanggung Jawab Dalam Resiko Keamanan Dan Pemenuhan) PO4.9 Data And System Ownership (Kepemilikan Data Dan Sistem)

5 71 PO4.10 Supervision (Pengawasan) PO4.11 Segregation Of Duties (Pemisahan Tugas) PO4.12 IT Staffing (Kepegawaian TI) PO4.13 Key IT Personnel (Personel Inti TI) PO4.14 Contracted Staff Policies And Procedures (Kebijakan dan Prosedur Karyawan Kontrak) PO4.15 Relationships (Hubungan) e. PO5 Manage The IT Investment (Mengatur Investasi TI) PO5.1 Financial Management Framework (Kerangka Kerja Manajemen Keuangan) PO5.2 Prioritisation Within IT Budget (Menentukan Prioritas Dalam Anggaran TI) PO5.3 IT Budgeting (Anggaran TI) PO5.4 Cost Management (Manajemen Biaya) PO5.5 Benefit Management (Manajemen Manfaat) f. PO6 Communicate Management Aims And Direction (Mengkomunikasikan Tujuan Dan Arahan Manajemen) PO6.1 IT Policy And Control Environment (Kebijakan Dan Kontrol Lingkungan TI) PO6.2 Enteprise IT Risk And Control Framework (Resiko dan Kerangka Pengendalian Perusahaan TI)

6 72 PO6.3 IT Policies Management (Kebijakan Manajemen TI) PO6.4 Policy, Standard And Procedures Rollout (Kebijakan, Standar, Dan Pergantian Prosedur) PO6.5 Communication Of IT Objectives And Direction (Pemberitahuan Tentang Objektifitas Dan Arahan TI) g. PO7 Manage IT Human Resources (Mengelola Sumber Daya Manusia TI) PO7.1 Personnel Recruitment And Retention (Perekrutan Dan Penahanan Personel) PO7.2 Personnel Competencies (Kompetensi Personel) PO7.3 Staffing Of Roles (Pemilihan Personel) PO7.4 Personnel Training (Pelatihan Personel) PO7.5 Dependence Upon Individuals (Ketergantungan Antar Individu) PO7.6 Personnel Clearance Procedures (Prosedur Pemberhentian Personel) PO7.7 Employee Job Performance Evaluation (Evaluasi Performa Kerja Pegawai) PO7.8 Job Change And Termination (Perubahan Dan Pemberhentian Kerja)

7 73 h. PO8 Manage Quality (Mengatur Kualitas) PO8.1 Quality Management System (Sistem Manajemen Kualitas) PO8.2 IT Standards And Quality Practices (Standar TI dan Kualitas Pelatihan) PO8.3 Development And Acquisition Standards (Standar Pengembangan Dan Akuisisi) PO8.4 Customer Focus (Fokus Pelanggan) PO8.5 Continuous Improvement (Peningkatan Berkelanjutan) PO8.6 Quality Measurement, Monitoring And Review (Pengukuran, Pengawasan Dan Tinjauan Kualitas) i. PO10 Manage Projects (Mengatur Proyek) PO10.1 Programme Management Framework (Kerangka Kerja Manajemen Program) PO10.2 Project Management Framework (Kerangka Kerja Manajemen Proyek) PO10.3 Project Management Approach (Pendekatan Manajemen Proyek) PO10.4 Stakeholder Commitment (Komitmen Stakeholder) PO10.5 Project Scope Statement (Pernyataan Ruang Lingkup Proyek) PO10.6 Project Phase Initiation (Tahap Inisiasi Proyek) PO10.7 Integrated Project Plan (Rencana Proyek Terintegrasi) PO10.8 Project Resources (Sumber Daya Proyek) PO10.9 Project Risk Management (Manajemen Resiko Proyek)

8 74 PO10.10 Project Quality Plan (Rencana Kualitas Proyek) PO10.11 Project Change Control (Pengendalian Perubahan Proyek) PO10.12 Project Planning Of Assurance Methods (Metode Jaminan Perencanaan Proyek) PO10.13 Project Performance Measurement, Reporting And Monitoring (Proyek Pengukuran, Pelaporan dan Pemantauan Kinerja) PO10.14 Project Closure (Penutupan Proyek) 2. Acquire And Implement (AI) a. Identify Automated Solutions (Identifikasi Solusi-solusi Otomatis) AI1.1 Definition And Maintenance Of Business Functional And Technical Requirements (Definisi Dan Pemeliharaan Fungsi Bisnis Dan Persyaratan Teknis) AI1.2 Risk Analysis Report (Laporan Analisis Resiko) AI1.3 Feasibility Study And Formulation Of Alternative Courses Of Action (Penelitian Kemudahan Dan Perumusan Rangkaian Tindakan Alternatif) AI1.4 Requirements And Feasibilty Decision And Approval (Keputusan dan Persetujuan Persyaratan Dan Kemudahan) b. AI2 Acquire And Maintain Application Software (Mendapatkan Dan Memelihara Perangkat Lunak Aplikasi) AI2.1 High-Level Design (Rancangan Tingkat Tinggi) AI2.2 Detailed Design (Rancangan Terperinci)

9 75 A12.3 Application Control And Auditability (Kontrol Dan Auditabilitas Aplikasi) AI2.4 Application Security And Availability (Keamanan Dan Ketersediaan Aplikasi) AI2.5 Configuration And Implementation Of Acquired Application Software (Konfigurasi Dan Implementasi Perangkat Lunak Aplikasi Yang Didapat) AI2.6 Major Upgrades To Existing Systems (Kenaikan Tingkat Yang Besar Terhadap Sistem Yang Ada) AI2.7 Development Of Application Software (Pengembangan Perangkat Lunak Aplikasi) AI2.8 Software Quality Assurance (Jaminan Kualitas Perangkat Lunak) AI2.9 Application Requirements Management (Manajemen Persyaratan Aplikasi) AI2.10 Application Software Maintenance (Pemeliharaan Perangkat Lunak Aplikasi) c. AI3 Acquire And Maintain Technology Infrastructure (Mendapatkan Dan Memelihara Infrastruktur Teknologi) AI3.1 Technological Infrastructure Acquisition Plan (Rencana Akuisisi Infrastuktur Teknologis) AI3.2 Infrastructure Resource Protection And Availability (Perlindungan Dan Ketersediaan Sumber Daya Infrastruktur)

10 76 AI3.3 Infrastructure Maintenance (Pemeliharaan Infrastruktur) AI3.4 Feasibility Test Environment (Lingkungan Uji Kemungkinan Pengerjaan) d. AI4 Enable Operation And Use (Menjalankan Operasi Dan Menggunakannya) AI4.1 Planning For Operational Solutions (Perencanaan Untuk Solusi Operasional) AI4.2 Knowledge Transfer To Business Management (Pemindahan Pengetahuan Ke Manajemen Bisnis) AI4.3 Knowledge Transfer To End Users (Pemindahan Pengetahuan Ke Pengguna Akhir) AI4.4 Knowledge Transfer To Operations And Support Staff (Pemindahan Pengetahuan Ke Staf Operasi Dan Pendukung) e. AI5 Procure IT Resources (Pengadaan Sumber Daya TI) AI5.1 Procurement Control (Kontrol Perolehan) AI5.2 Supplier Contact Management (Manajemen Kontak Penyalur) AI5.3 Supplier Selection (Seleksi Penyalur) AI5.4 IT Resources Acquisition (Akuisisi Sumber Daya TI)

11 77 f. AI6 Manage Changes (Mengelola Perubahan) AI6.1 Change Standards And Procedures (Standar Dan Prosedur Perubahan) AI6.2 Impact Assessment, Prioritisation And Authorisation (Penilaian, Prioritisasi Dan Kewenangan Dampak) AI6.3 Emergency Changes (Perubahan Darurat) AI6.4 Change Status Tracking And Reporting (Penelusuran Dan Pelaporan Status Perubahan) AI6.5 Change Closure And Documentation (Penutupan Dan Dokumentasi Perubahan) g. AI7 Install And Accredit Solutions And Changes (Instalasi Dan Akreditasi Solusi serta Perubahan) AI7.1 Training (Pelatihan) AI7.2 Test Plan (Rencana Uji) AI7.3 Implementation Plan (Rencana Implementasi) AI7.4 Test Environment (Lingkungan Uji) AI7.5 System And Data Conversion (Pengalihan Sistem Dan Data) AI7.6 Testing Of Changes (Pengujian Perubahan) AI7.7 Final Acceptance Test (Uji Penerimaan Akhir) AI7.8 Promotion To Production (Promosi Ke Produksi) AI7.9 Post-Implementation Review (Tinjauan Paska-Implementasi)

12 78 3. Deliver And Support (DS) a. DS1 Define And Manage Service Levels (Menetapkan Dan Mengatur Tingkat Layanan) DS1.1 Service Level Management Framework (Kerangka Kerja Manajemen Tingkat Layanan) DS1.2 Definiton Of Services (Definisi Layanan) DS1.3 Service Level Agreements (Kesepakatan Tingkat Layanan) DS1.4 Operating Level Agreements (Kesepakatan Tingkat Operasi) DS1.5 Monitoring And Reporting Of Service Level Achievements (Mengawasi Dan Melaporkan Perolehan Tingkat Layanan) DS1.6 Review Of Service Level Agreements And Contracts (Mengulas Kesepakatan Dan Kontrak Tingkat Layanan) b. DS2 Manage Third-Party Services (Pengaturan Layanan Pihak Ke Tiga) DS2.1 Identification Of All Supplier Relationships (Mengidentifikasi Semua Hubungan Penyalur) DS2.2 Supplier Relationship Management (Manajemen Hubungan Penyalur) DS2.3 Supplier Risk Management (Manajemen Resiko Penyalur) DS2.4 Supplier Performace Monitoring (Pengawasan Performasi Penyalur)

13 79 c. DS3 Manage Performance And Capacity (Mengatur Kinerja Dan Kapasitas) DS3.1 Performance And Capacity Planning (Perencanaan Performasi Dan Kapasitas) DS3.2 Current Performance And Capacity (Performasi Dan Kapasitas Terkini) DS3.3 Future Performance And Capacity (Performansi Dan Kapasitas Di Masa Depan) DS3.4 IT Resources Availability (Ketersediaan Sumber Daya TI) DS3.5 Monitoring And Reporting (Mengawasi Dan Melaporkan) d. DS4 Ensure Continuous Service (Memastikan Ketersediaan Layanan) DS4.1 IT Continuity Framework (Kerangka Kerja TI Berkelanjutan) DS4.2 IT Continuity Plans (Rencana TI Berkelanjutan) DS4.3 Critical IT Resources (Sumber Daya TI Yang Kritis) DS4.4 Maintenance Of The IT Continuity Plan (Pemeliharaan Rencana TI Berkelanjutan) DS4.5 Testing Of The IT Continuity Plan (Menguji Rencana TI Berkelanjutan) DS4.6 IT Continuity Plan Training (Pelatihan Rencana TI Berkelanjutan) DS4.7 Distribution Of The IT Continuity Plan (Distribusi Rencana TI Berkelanjutan) DS4.8 IT Service Recovery and Resumption (Pemulihan dan Penerusan Layanan TI)

14 80 DS4.9 Offsite Backup Storage (Penyimpanan Cadangan di Luar) DS4.10 Post-resumption Review (Tinjauan Paska Penerusan) e. DS5 Ensure Systems Security (Memastikan Keamanan Sistem) DS5.1 Management Of IT Security (Manajemen Keamanan TI) DS5.2 IT Security Plan (Rencana Keamanan TI) DS5.3 Identity Management (Manajemen Identitas) DS5.4 User account Management (Manajemen Rekening Pengguna) DS5.5 Security Testing, Surveillance and Monitoring (Pengujian, Pengamatan, dan Pengawasan Keamanan) DS5.6 Security Incident Definition (Definisi Insiden Keamanan) DS5.7 Protection Of Security Technology (Perlindungan Teknologi Keamanan) DS5.8 Cryptographic Key Management (Manajemen Kunci Kriptografi) DS5.9 Malicious Software Prevention, Detection, and Corection (Pencegahan, Deteksi, dan Perbaikan terhadap Software yang berbahaya) DS5.10 Network Security (Keamanan Jaringan Kerja) DS5.11 Exchange Of Sensitive Data (Pertukaran Data yang Sensitive) f. DS6 Identify and Allocate Cost (Identifikasi dan Mengalokasi Biaya) DS6.1 Definition Of Service (Definisi Layanan) DS6.2 IT Accounting (Perhitungan TI)

15 81 DS6.3 Cost Modelling and Charging (Percontohan Biaya dan Penetapan Harga) DS6.4 Cost Model Maintenance (Pemeliharaan Contoh Biaya) g. DS7 Educate and Train Users (Mendidik dan Melatih Pengguna Akhir) DS7.1 Identification Of Education and Training Needs (Identifikasi Kebutuhan Pendidikan dan Pelatihan) DS7.2 Delivery of Training and Education (Penyaluran Pelatihan dan Pendidikan) DS7.3 Evaluation of Training Received (Evaluasi Pelatihan yang Diterima) h. DS8 Manage Service Desk and Incidents (Mengelola Bagian Layanan dan Insiden) DS8.1 Service Desk (Bagian Layanan) DS8.2 Registration of Customer Queries (Pendaftaran Keraguan Pelanggan) DS8.3 Incident Escalation (Kenaikan Insiden) DS8.4 Incident Closure (Penutupan Insiden) DS8.5 Reporting and Trend Analysis (Pelaporan dan Analisis Tren)

16 82 i. DS10 Manage Problems (Mengelola Masalah) DS10.1 Identification and Classification of problems (Identifikasi dan Klasifikasi Masalah) DS10.2 Problem Tracking and Resolution (Pelacakan dan Resolusi Masalah) DS10.3 Problem Closure (Penutupan Masalah) DS10.4 Integration of Configuration, Incident and Problem Management (Integrasi Konfigurasi, Insiden dan Manajemen Masalah) j. DS11 Manage Data (Mengelola Data) DS11.1 Business Requirements for Data Management (Persyaratan Bisnis untuk Manajemen Data) DS11.2 Storage and Retention Arrangements (Pengaturan Penyimpanan dan Retensi) DS11.3 Media Library Management System (Sistem Manajemen Perpustakaan Media) DS11.4 Disposal (Pembuangan) DS11.5 Backup and Restoration (Cadangan dan Restorasi) DS11.6 Security Requirements for Data Management (Persyaratan Keamanan untuk Manajemen Data)

17 83 k. DS12 Manage the Physical Environment (Mengelola Lingkungan Fisik) DS12.1 Site Selection and Layout (Pemilihan Tempat dan Tata Ruang) DS12.2 Physical Security Measures (Pengukuran Keamanan Fisik) DS12.3 Physical Access (Akses Fisik) DS12.4 Protection Against Environmental Factors (Perlindungan Dari Faktor Lingkungan) DS12.5 Physical Facilities Management (Manajemen Fasilitas Fisik) l. DS13 Manage Operations (Mengelola Operasi) DS13.1 Operations Procedures and Instructions (Prosedur dan Instruksi Operasi) DS13.2 Job Scheduling (Penjadwalan Pekerjaan) DS13.3 IT Infrastructure Monitoring (Pengawasan Infrastruktur TI) DS13.4 Sensitive Documents and Output Devices (Dokumen dan Peralatan Hasil yang Sensitif) DS13.5 Preventive Maintenance for Hardware (Pemeliharaan Preventif untuk Perangkat Keras)

18 84 4. (ME) Monitor and Evaluate a. ME1 Monitor and Evaluate IT Performance (Mengawasi dan Mengevaluasi Kinerja TI) ME1.1 Monitoring Approach (Pendekatan Pengawasan) ME1.2 Definition and Collection of Monitoring Data (Definisi dan Koleksi Pengawasan Data) ME1.3 Monitoring Method (Metode Pengawasan) ME1.4 Performance Assessment (Penilaian Kinerja) ME1.5 Board and Executive Reporting (Pelaporan Dewan dan Eksekutif) ME1.6 Remedial Actions (Tindakan Perbaikan) b. ME4 Provide IT Governance (Menyediakan Tata Kelola TI) ME4.1 Establishment of an IT Governance Framework (Menetapkan Kerangka Kerja Tata Kelola TI) ME4.2 Strategic Alignment (Penyusunan Strategis) ME4.3 Value Delivery (Penyaluran Nilai) ME4.4 Resource Management (Manajemen Sumber Daya) ME4.5 Risk Management (Manajemen Risiko) ME4.6 Performance Measurement (Pengukuran Kinerja) ME4.7 Independent Assurance (Jaminan Mandiri)

19 Pelaksanaan Evaluasi Pengendalian Sistem Informasi Checklist Domain Plan and Organise PO1 Define a Strategic IT Plan (Menentukan perencanaan strategis TI) 1. Apakah perusahaan sudah memiliki pengelolaan fungsi investasi di bidang TI? 2. Apakah perusahaan sudah memiliki suatu perencanaan srategis TI yang terpadu dan terintegrasi dengan tujuan bisnisnya? 3. Apakah perusahaan sudah memiliki suatu proses penilaian kinerja di bidang TI? 4. Apakah perusahaan sudah memiliki perencanaan di bidang TI dengan perencanaan yang strategis di bidang TI? 5. Apakah perusahaan sudah memiliki perencanaan taktis (jangka pendek) untuk melakukan perencanaan strategis (jangka panjang)? 6. Apakah perusahaan sudah memiliki rencana pengelolaan bisnis TI yang portopolio untuk mengaktivkan program-program investasi yang dibutuhkan untuk mencapai tujuan bisnis strategis perusahaan? Tabel 4.2 Checklist PO1 PO2 Define The Information Architecture (Mendefinisikan Arsitektur Informasi) 1. Apakah perusahaan sudah membuat dan mengembangkan perancangan model aplikasi untuk sistem informasi yang dapat mendukung perencanaan strategis TI? 2. Apakah perusahaan sudah memiliki model aplikasi database yang sesuai dengan aturan dan bisnis perusahaan? 3. Apakah perusahaan sudah memiliki sistem aplikasi yang memiliki pengendalian akses dan perlindungan terhadap datanya? 4. Apakah perusahaan sudah membuat implementasi konsistensi data yang integritas di bidang TI? Tabel 4.3 Checklist PO2

20 86 PO3 Determine Technological Direction (Menetapkan Arah Teknologi) 1. Apakah perusahaan telah membuat analisis perencanaan untuk menentukan arah dan tujuan dari TI yang sesuai dengan perencanaan strategis TI? 2. Apakah perusahaan sudah memiliki perencanaan untuk pemeliharaan dan pengelolaan infrastruktur di bidang TI? 3. Apakah perusahaan sudah memiliki suatu manajemen proses yang memantau seluruh sektor yang ada dalam perusahaan untuk melakukan rencana pengembangan infrastruktur teknologi TI? 4. Apakah perusahaan sudah memiliki dan menetapkan standartstandart teknologi yang digunakan agar sesuai dengan relevansi bisnis perusahaan serta persyaratan eksternal yang ada? 5. Apakah perusahaan sudah memiliki suatu pedoman dalam membuat TI arsitektur sehingga menjadi sebuah aplikasi yang dapat digunakan untuk menjalankan strategis bisnis dan TI perusahaan yang sesuai dengan peraturan dan persyaratan bisnisnya? Tabel 4.4 Checklist PO3 PO4 Define The IT Processes,Organisation And Relationships (Mendefinisikan Proses TI, Organisasi, dan Hubungannya) 1. Apakah perusahaan sudah memiliki kerangka kerja untuk proses TI yang terintegrasi dalam sebuah manajemen kualitas (QMS) dan kerangka pengendalian internal untuk melaksanakan rencana strategis TI? 2. Apakah perusahaan sudah memiliki suatu dewan komite strategi TI yang memastikan bahwa tatakelola TI sebagai bagian dari tatakelola perusahaan sudah memadai fungsi strategis dan investasi perusahaan? 3. Apakah perusahaan sudah memiliki suatu komite untuk pengarah TI yang memastikan rencana srtategis TI telah berjalan lancar sesuai dengan prioritas tujuan dan rencana srategis bisnis perusahaan? 4. Apakah perusahaan sudah penempatkan fungsi TI pada keseluruhan struktur organisasi dengan model bisnis yang bergantung pada pentingnya TI perusahaan? 5. Apakah perusahaan sudah membentuk suatu badan internal dan eksternal srtuktur organisasi TI yang sesuai dengan kebutuhan dan tujuan strategi bisnis, staff, dan perubahan keadaan? 6. Apakah perusahaan sudah menetapkan pembentukan peran dan tangungjawab bagi para personil TI dan User yang sesuai dengan porsinya masing-masing untuk memenuhi kebuthan perusahaan? 7. Apakah perusahaan sudah menetapkan tanggung- jawab, pengendalian, dan pengelolaan komunikasi atas kinerja fungsi System Quality Assurance yang memenuhi persyaratan perusahaan? 8. Apakah perusahaan sudah memilki suatu fungsi pengelolaan risko dan keamanan di bidang TI?

21 87 9. Apakah perusahaan sudah memiliki prosedur dan alat-alat pengendalian tanggungjawab pada sistem kepemilikan data dan sistem informasi untuk melindungi data dan informasi perusahaan? 10. Apakah perusahaan sudah menerapkan suatu praktek pengawasan yang memadai dalam fungsi TI untuk memastikan dan menilai kinerja semua personil dalam menjalankan tugas, wewenang, serta tanggung- jawabnya dengan benar? 11. Apakah perusahaan sudah melakukan pemisahan tugas dan tanggungjawab kepada para personilnya yang sesuai dengan posisi kerja dan jabatannya masing-masing? 12. Apakah perusahaan sudah melakukan evaluasi persyaratan kepada para staffnya untuk memastikan fungsi TI dikerjakan oleh SDM yang memadai dan tepat untuk mendukung tujuan bisnis perusahaan? 13. Apakah perusahaan telah memiliki manajemen yang mengatur tentang personil TI atau backup personil TI yang bekerja? 14. Apakah perusahaan sudah memiliki suatu sistem atau prosedur kontrak dengan para pekerja dan konsultan di bidang TI? 15. Apakah perusahaan sudah memiliki suatu fungsi yang dapat mengatur dan menjaga secara optimal mengenai koordinasi, komunikasi, dan struktur penghubung antara fungsi TI dengan berbagai kepentingan internal dan eksternal perusahaan? Tabel 4.5 Checklist PO4 PO5 Manage The IT Investment (Mengatur Investasi TI) 1. Apakah perusahaan sudah memiliki kerangka kerja manajemen keuangan yang mengelola investasi, asset, dan layanan di bidang TI? 2. Apakah perusahaan sudah dapat menetapkan keputusan untuk menentukan prioritas anggaran TI? 3. Apakah perusahaan sudah memiliki fungsi pengelolaan prioritas Anggaran TI? 4. Apakah perusahaan sudah memiliki fungsi manajemen biaya yang mengelola dan menghitung seluruh anggaran biaya TI? 5. Apakah perusahaan sudah memiliki fungsi manajemen manfaat yang menilai kinerja TI dalam mendukung kegiatan operasional bisnis perusahaan? Tabel 4.6 Checklist PO5

22 88 PO6 Communicate Management Aims And Direction (Mengkomunikasikan Tujuan Dan Arahan Manajemen) 1. Apakah perusahaan sudah memiliki suatu fungsi pengelolaan kebijakan dan pengendalian lingkungan dan TI? 2. Apakah perusahaan sudah memiliki kerangka kerja pengendalian resiko TI? 3. Apakah perusahaan sudah memiliki manajemen TI untuk mengembangkan dan mempertahankan serangkaian kebijakan yang mendukung strategi TI? 4. Apakah perusahaan sudah memiliki kebijakan, standard dan prosedur rollout yang mengatur fungsi TI untuk semua staff sehingga mereka dibangun menjadi bagian integral dari operasi perusahaan? 5. Apakah perusahaan sudah menentukan arah dan tujuan dari fungsi TI yang sejalan dengan pemahaman bisnis stakeholder dan pengguna seluruh perusahaan? Tabel 4.7 Checklist PO6 PO7 Manage IT Human Resources (Mengelola Sumber Daya Manusia TI) 1. Apakah perusahaan sudah memiliki prosedur dalam perekrutan personil TI agar personil yang dipekerjakan sesuai dengan harapan dan kebutuhan perusahaan? 2. Apakah perusahaan sudah memiliki standar atau persyaratan kompetensi dalam memperkerjakan karyawan di bidang TI agar sesuai dengan bidang pekerjaannya? 3. Apakah perusahaan sudah memiliki fungsi pengelolaan karyawan yang bertugas memantau dan mengawasi kinerja kerja karyawan? 4. Apakah perusahaan sudah memiliki program pendidikan dan pelatihan secara berkelanjutan bagi para personil TI nya? 5. Apakah perusahaan sudah melakukan suatu perencanaan cadangan untuk mengatasi ketergantungan tehadap kemampuan satu orang pekerja ahli? 6. Apakah perusahaan sudah melakukan tahap pemeriksaan identitas dan latar belakang dari setiap pihak yang berhubungan dengan perusahaan dalam bidang TI? 7. Apakah perusahaan sudah melakukan evaluasi berkelanjutan serta pembinaan terhadap kinerja kerja karyawan? 8. Apakah perusahaan sudah memiliki suatu prosedur kebijakan untuk melakukan perubahan kerja pada karyawan dan penghentian karyawan? Tabel 4.8 Checklist PO7

23 89 PO8 Manage Quality (Mengatur Kualitas) 1. Apakah perusahaan memiliki sistem manajemen mutu? 2. Apakah perusahaan sudah memiliki standard dan prosedur untuk menentukan kualitas dari proses dan praktek TI yang dilakukan? 3. Apakah perusahaan sudah memiliki prosedur pengembangan dan akuisisi standar untuk semua pembangunan TI dan seluruh siklus hidup TI sampai akhir penyampaiannya? 4. Apakah perusahaan sudah memiliki manajemen kualitas yang berfokus pada pelanggan yang sesuai dengan standard dan praktek TI perusahaan? 5. Apakah perusahaan sudah melakukan prosedur menjaga secara teratur komunikasi keseluruhan rencana yang mempromosikan perbaikan terus-menerus? 6. Apakah perusahaan telah melakukan dan merencanakan pengukuran, pemantauan, dan peninjauan untuk melaksanakan prosedur sistem manajemen mutu? Tabel 4.9 Checklist PO8 PO10 Manage Projects (Mengatur Proyek) 1. Apakah perusahaan telah memiliki kerangka kerja program manajemen untuk mengelola investasi TI yang berkaitan dengan proyek TI untuk mendukung tujuan program bisnis perusahaan? 2. Apakah perusahaan telah memiliki kerangka kerja manajemen yang memiliki kerangka dan metode yang terintegrasi dengan proses pengelolaan program atau proyek TI? 3. Apakah perusahaan telah menetapkan pendekatan manajemen proyek yang memenuhi ukuran, kompleksitas, dan persyaratan peraturan masing-masing proyek untuk melaksanakan proyek strategis dalam keseluruhan program? 4. Apakah perusahaan sudah memiliki komitmen dan kerjasama / partisipasi dengan para stakeholder dalam mendefinisikan dan melaksanakan seluruh proyek investasi di bidang TI? 5. Apakah perusahaan sudah menentukan secara dokumentasi sifat dan ruang lingkup pelaksanaan proyek TI untuk mengkonfirmasikan dan mengembangkan diantara stakeholder? 6. Apakah perusahaan sudah memiliki persetujuan inisiasi seluruh fase setiap proyek TI dan mengkomunikasi-kannya dengan para stakeholder, program pemerintah, dan proyek sponsor? 7. Apakah perusahaan sudah memiliki rencana proyek yang terpadu secara formal dan di dokumentasi untuk melaksanakan dan mengendalikan seluruh kehidupan dan kegiatan proyek TI tersebut? 8. Apakah perusahaan sudah memiliki dan menentukan persyaratanpersyaratan kinerja tim proyek yang kompeten untuk malaksanakan rencana dan tujuan proyek yang terpadu dan terorganisasi dengan baik? 9. Apakah perusahaan sudah memiliki fungsi pengelolaan resiko dalam manajemen proses proyek TI? 10. Apakah perusahaan sudah memiliki fungsi pengelolaan kualitas sistem mutu terhadap pelaksanaan rencana proyek terpadu?

24 Apakah perusahaan sudah memiliki sistem pengendalian untuk setiap proyek untuk mengatasi perubahan pada awal pembentukan dan pelaksanaan proyek? 12. Apakah perusahaan sudah memiliki metode-metode perencanaan jaminan pelaksanaan proyek dalam rencana proyek terpadu yang dapat memberikan jaminan internal dan keamanan yang memenuhi persyaratan? 13. Apakah perusahaan sudah memiliki proyek untuk mengukur kinerja, pelaporan, dan pemantauan terhadap pelaksanaan perencanaan proyek terpadu sehingga dapat memberikan rekomendasi dan perbaikan jika diperlukan? 14. Apakah perusahaan sudah memiliki fungsi pengukuran dan pelaporan terhadap manfaat dan hasil akhir dari proyek yang sudah berjalan? Tabel 4.10 Checklist PO10 Checklist Domain Acquire and Implement AI1 Identify Automated Solutions (Identifikasi Solusi-solusi Otomatis) 1. Apakah perusahaan sudah dapat mengidentifikasi, memprioritas, menentukan dan menyetujui bisnis dengan persyaratan teknis yang fungsional secara penuh untuk mencapai hasil yang diharapkan dari program investasi TI? 2. Apakah perusahaan sudah resiko dan membuat laporan analisis resiko yang berkaitan dengan kebutuhan bisnis dan solusi yang diperlukan? 3. Apakah perusahaan sudah melakukan study kelayakan terhadap pelaksanaan persyaratan bisnis yang didukung oleh fungsi TI dan membuat rekomendasinya kepada sponsor bisnis? 4. apakah perusahaan sudah melakukan verifikasi dan study kelayakan terhadap keputusan dan persetujuan-persetujuan serta persyaratan bisnis yang telah ditentukan dan dilakukan? Tabel 4.11 Checklist AI1 AI2 Acquire And Maintain Application Software (Mendapatkan Dan Memelihara Perangkat Lunak Aplikasi) 1. Apakah perusahaan sudah memiliki desain aplikasi software yang sesuai dengan kebutuhan bisnis? 2. Apakah perusahaan sudah melakukan penilaian ulang ketika terjadi perbedaan teknis atau logis selama mengembangan atau memeliharaan aplikasi? 3. Apakah perusahaan sudah melakukan pengendalian aplikasi untuk mendukung pengelolahan bisnis agar menjadi lebih akurat, tepat waktu, dan auditable? 4. Apakah perusahaan sudah memiliki ketersediaan dan keamanan aplikasi untuk mengindentifikasi resiko?

25 91 5. Apakah perusahaan sudah melakukan implementasi terhadap software aplikasi yang memenuhi tujuan bisnis? 6. Apakah perusahaan sudah melakukan kegiatan perubahan yang besar pada sistem yang sesuai dengan proses pengembangan sistem baru? 7. Apakah perusahaan sudah memiliki fungsi otomatis yang telah dikembangkan sesuai dengan standar spesifikasi desain, pengembangan, dan dokumentasi? 8. Apakah perusahaan sudah melakukan pengembangan dan melaksanakan rencana software quality assurance untuk mencapai kualitas yang ditetapkan? 9. Apakah perusahaan sudah memiliki manajemen kebutuhan aplikasi? 10. Apakah perusahaan sudah melakukan pengembangan strategi dan perencanaan untuk memelihara aplikasi software? Tabel 4.12 Checklist AI2 AI3 Acquire And Maintain Technology Infrastructure (Mendapatkan Dan Memelihara Infrastruktur Teknologi) 1. Apakah perusahaan sudah memiliki perencanaan untuk melakukan implementasi, dan pemeliharaan infrastruktur teknologi? 2. Apakah perusahaan sudah melaksanakan pengendalian internal, keamanan dan auditabilitas selama konfigurasi, integrasi dan pemeliharaan hardware dan infrastruktur software? 3. Apakah perusahaan sudah melakukan pengembangan strategi dan perencanaan untuk pemeliharaan infrastruktur? 4. Apakah perusahaan sudah melakukan uji kelayakan terhadap komponen infrastruktur? Tabel 4.13 Checklist AI3 AI4 Enable Operation And Use (Menjalankan Operasi Dan Menggunakannya) 1. Apakah perusahaan sudah melakukan pengembangan terhadap rencana untuk mengidentifikasi dan mendokumentasikan semua teknis, operasional, dan aspek-aspek penggunaan? 2. Apakah perusahaan sudah memiliki program pendidikan untuk menambah pengetahuan kepada manajemen bisnis yang memungkinkan individu-individu dalam mengambil kepemilikan sistem dan data, dan melaksanakan tanggung jawab? 3. Apakah perusahaan sudah memiliki suatu program pendidikan untuk menambah pengetahuan dan skill yang memungkinkan bagi pengguna akhir agar dapat menggunakan sistem secara efektif dan efisien? 4. Apakah perusahaan sudah memiliki suatu program pendidikan untuk menambah pengetahuan dan skill yang memungkinkan staf pendukung operasi dan teknis untuk secara efektif dan efisien memberikan, mendukung dan memelihara sistem dan infrastruktur yang terkait? Tabel 4.14 Checklist AI4

26 92 AI5 Procure IT Resources (Pengadaan Sumber Daya TI) 1. Apakah perusahaan memiliki prosedur atau standar untuk pengadaan sumber-sumber TI? 2. Apakah perusahaan memiliki prosedur untuk menetapkan, mengubah dan mengakhiri kontrak untuk semua pemasok? 3. Apakah perusahaan sudah melakukan pemilihan pemasok yang sesuai dengan persyaratan yang ditentukan? 4. Apakah perusahaan sudah memiliki perjanjian kontrak akuisisi dalam hal menegakkan dan melindungi kepentingan organisasi, termasuk hak dan kewajiban dari semua pihak? Tabel 4.15 Checklist AI5 AI6 Manage Changes (Mengelola Perubahan) 1. Apakah perusahaan sudah memil iki prosedur manajemen perubahan formal untuk menangani semua permintaan? 2. Apakah perusahaan sudah memiliki suatu sistem penilaian terhadap perubahan permintaan yang menentukan dampak pada sistem operasional dan fungsi? 3. Apakah perusahaan sudah memiliki prosedur untuk menangani perubahan darurat? 4. Apakah perusahaan sudah memiliki sistem pelaporan untuk mendokumentasi semua perubahan? 5. Apakah setelah setiap perubahan yang diimplementasikan oleh perusahaan akan mengupdate sistem yang terkait? Tabel 4.16 Checklist AI6 AI 7 Install And Accredit Solutions And Changes (Instalasi Dan Akreditasi Solusi serta Perubahan) 1. Apakah perusahaan sudah melakukan pelatihan untuk anggota staf pengguna TI? 2. Apakah perusahaan sudah menetapkan rencana pengujian? 3. Apakah perusahaan sudah memiliki perencanaan implementasi? 4. Apakah perusahaan sudah membentuk suatu lingkungan tes yang aman? 5. Apakah perusahaan sudah membuat perencanaan perubahan data dan migrasi infrastruktur sebagai bagian dari metode pengembangan organisasi? 6. Apakah perusahaan sudah melakukan pengujian terhadap perubahan? 7. Apakah perusahaan sudah melakukan evaluasi hasil pengujian? 8. Apakah perusahaan sudah memiliki pengendalian terhadap sistem yang telah diubah agar sejalan dengan rencana pelaksanaan? 9. Apakah perusahaan sudah menetapkan prosedur untuk melakukan review terhadap sistem yang telah diimplementasikan? Tabel 4.17 Checklist AI7

27 93 Checklist Domain Deliver and Support DS1 Define And Manage Service Levels (Menetapkan Dan Mengatur Tingkat Layanan) 1 Apakah perusahaan sudah menetapkan suatu kerangka manajemen tingkat layanan antara pelanggan dan penyedia? 2 Apakah perusahaan sudah mendefinisikan layanan TI berdasarkan karakteristik layanan dan kebutuhan bisnis? 3 Apakah perusahaan sudah menetapkan service level agreement yang berbasis pada kebutuhan pelanggan dan kemampuan TI? 4 Apakah perusahaan sudah menetapkan operating level agreement yang dapat mendukung service level agreement? 5 Apakah perusahaan sudah melakukan pemantauan tingkat layanan dan melaporkan pencapaian tingkat pelayanan? 6 Apakah perusahaan sudah melakukan peninjauan terhadap service level agreement dan kontrak dengan penyedia layanan internal dan eksternal? Tabel 4.18 Checklist DS1 DS2 Manage Third-Party Services (Pengaturan Layanan Pihak Ke Tiga) 1. Apakah perusahaan sudah mengidentifikasi semua pemasok, dan mengkategorikan semua pemasok sesuai dengan tipe pemasok? 2. Apakah perusahaan sudah menerapkan manajemen hubungan pemasok untuk menjamin kualitas hubungan yang didasarkan pada kepercayaan? 3. Apakah perusahaan sudah menerapkan manajemen resiko pemasok untuk mengidentifikasi dan mengurangi resiko yang berhubungan dengan kemampuan pemasok? 4. Apakah perusahaan sudah melakukan kegiatan memonitor kinerja pemasok untuk memenuhi kebutuhan bisnis dan terus mematuhi perjanjian kontrak? Tabel 4.19 Checklist DS2 DS3 Manage Performance And Capacity (Mengatur Kinerja Dan Kapasitas) 1. Apakah perusahaan sudah membentuk suatu proses perencanaan untuk meninjau kinerja dan kapasitas sumber daya TI? 2. Apakah perusahaan sudah melakukan penilaian terhadap kinerja saat ini dan kapasitas sumber daya TI? 3. Apakah perusahaan sudah melakukan perkiraan kinerja dan kapasitas sumber daya TI untuk meminimalkan risiko gangguan layanan? 4. Apakah perusahaan sudah menyediakan kapasitas dan kinerja sumber daya TI diperlukan? 5. Apakah perusahaan sudah melakukan kegiatan pemantauan terhadap kinerja dan kapasitas sumber daya TI secara terus menerus? Tabel 4.20 Checklist DS3

28 94 DS4 Ensure Continuous Service (Memastikan Ketersediaan Layanan) 1. Apakah perusahaan sudah mengembangkan kerangka untuk kesinambungan TI yang mendukung kelangsungan bisnis? 2. Apakah perusahaan sudah mengembangkan rencana kesinambungan TI? 3. Apakah perusahaan sudah memprioritaskan hal-hal yang penting dalam pemulihan situasi? 4. Apakah perusahaan sudah memiliki suatu rencana berkesinambungan dalam bidang TI yang up to date dan terusmenerus mencerminkan kebutuhan bisnis? 5. Apakah perusahaan sudah melakukan pengujian terhadap rencana berkesinambungan TI secara teratur? 6. Apakah perusahaan sudah menyediakan pelatihan yang teratur kepada semua pihak mengenai prosedur dan peran serta tanggungjawab jika terjadi insiden atau bencana? 7. Apakah perusahaan sudah menetapkan strategi distribusi agar rencana kesinambungan TI dapat didistribusikan dengan baik dan aman? 8. Apakah perusahaan sudah menetapkan rencana tindakan yang akan diambil ketika IT sudah mulai pulih dan melanjutkan layanan? 9. Apakah perusahaan sudah menyediakan offsite backup storage? 10. Apakah perusahaan memiliki manajemen TI yang menentukan prosedur untuk menilai kecukupan rencana berkesinambungan? Tabel 4.21 Checklist DS4 DS5 Ensure System Security (Memastikan Keamanan Sistem) 1. Apakah perusahaan sudah memiliki pengelolaan keamanan TI pada organisasi level tertinggi yang sesuai dan sejalan dengan persyaratan bisnis? 2. Apakah perusahaan sudah memiliki perencanaan secara keseluruhan terhadap keamanan TI yang dipertimbangkan sesuai dengan kebijakan dan prosedur yang tepat? 3. Apakah perusahaan sudah menetapkan hak-hak akses bagi pengguna yang telah diidentifikasi dan dipastikan oleh pengguna manajemen, sistem pemilik dan orang yang bertanggung jawab dalam bidang keamanan TI? 4. Apakah perusahaan sudah menerapkan suatu prosedur account manajemen untuk semua pengguna dalam mengakses sistem dan data perusahaan? 5. Apakah perusahaan sudah melakukan pengawasan, pengujian dan pemantauan dalam pelaksanaan keamanan TI? 6. Apakah perusahaan sudah mendefinisikan keamanan insiden untuk mengklasifikasikan masalah proses manajemen dan insiden yang terjadi? 7. Apakah perusahaan sudah membuat teknologi keamanan yang resistan terhadap gangguan dan kemanan dokumentasi? 8. Apakah perusahaan sudah memiliki prosedur dan kebijakan kunci kriptografi dalam memastikan perlindungan dari modifikasi dan pengaksesan yang tidak sah?

29 95 9. Apakah perusahaan sudah memiliki suatu sistem pencegahan, koreksi, deteksi terhadap malware untuk melindungi sistem informasi dan teknologi? 10. Apakah perusahaan sudah memiliki sistem keamanan dan prosedur dalam mengotorisasi akses dan pengendalian informasi pada penggunaan jaringan internet? 11. Apakah perusahaan sudah memiliki pengendalian dalam melakukan pertukaran data transaksi yang sensitif pada perusahaan? Tabel 4.22 Checklist DS5 DS6 Identify and Allocate Cost (Identifikasi dan Mengalokasi Biaya) 1. Apakah perusahaan sudah dapat mengindentifisi semua biaya TI yang terkait dengan proses bisnis guna identifikasi tingkat layanan billing? 2. Apakah perusahaan sudah menetapkan pengalokasian perkiraan dan biaya yang sebenarnya dianalisis dan dilaporkan sesuai sistem pengukuran perusahaan keuangan? 3. Apakah perusahaan sudah memiliki penggunaan model biaya TI yang memastikan jasa charging diidentifikasi, diukur dan diprediksi oleh pengguna dalam mendorong penggunaan sumber daya? 4. Apakah perusahaan sudah melakukan pemeliharaan terhadap model biaya untuk mempertahankan relevansi dan kesesuaian perkembangan kegiatan bisnis dan TI? Tabel 4.23 Checklist DS6 DS7 Educate and Train Users (Mendidik dan Melatih Pengguna Akhir) 1. Apakah perusahaan sudah melakukan pembaharuan terhadap kurikulum pelatihan dan pendidikan untuk target setiap kelompok karyawan? 2. Apakah perusahaan sudah dapat mengindentifikasi pengiriman mekanisme yang efisien, guru, pelatih dan mentor dalam pengaturan pelatihan yang tepat waktu? 3. Apakah perusahaan sudah melakukan evaluasi pelatihan dan pendidikan yang relevansi, efektif, berkualitas, biaya dan nilai sebagai masukan untuk kurikulum dan penyampaian sesi pelatihan di masa depan? Tabel 4.24 Checklist DS7

30 96 DS8 Manage Service Desk and Incidents (Mengelola Bagian Layanan dan Insiden) 1. Apakah perusahaan sudah melakukan kegiatan pemantauan dan prosedur yang sesuai dengan tingkat SLA dalam mengklasifikasi laporan insiden, permintaan layanan atau informasi? 2. Apakah perusahaan sudah melakukan tahap registrasi pertanyaan pelanggan untuk pelacakan insiden, permintaan layanan dan informasi yang diperlukan pelanggan? 3. Apakah perusahaan sudah menetapkan prosedur pelayanan desk untuk insiden yang tidak dapat diselesaikan segera cepat sesuai dengan peningkatan batas SLA? 4. Apakah perusahaan sudah memiliki prosedur dan pemantauan langkah-langkah pemecahan, merekam dan pelaporan insiden yang terselesaikan untuk menyediakan informasi bagi masalah manajemen yang sesuai? 5. Apakah perusahaan sudah melakukan laporan kegiatan layanan dan analisis trend yang memungkinkan manajemen mengukur layanan kinerja agar layanan tersebut dapat di tingaktkan? Tabel 4.25 Checklist DS8 DS10 Manage Problems (Mengelola Masalah) 1. Apakah perusahaan sudah memiliki proses implementasi untuk membuat laporan dan mnegklasifikasi masalah yang telah diidentifikasi sebagai bagian dari insiden manajemen yang sesuai dengan tanggungjawab organisasi kepada user dan pelanggan untuk mendukung para staf? 2. Apakah perusahaan sudah menyediakan fasilitas audit trail yang memadai untuk memungkinkan pelacakan, menganalisis dan menentukan akar penyebab semua masalah laporan? 3. Apakah perusahaan sudah memiliki dan melaksanakan prosedur untuk menutup masalah record setelah konfirmasikan sukses mengeliminasi kesalahan atau setelah persetujuan dengan bisnis tentang bagaimana menangani masalah alternatif? 4. Apakah perusahaan sudah dapat memadukan proses yang berhubungan dengan konfigurasi, insiden dengan masalah manajemen untuk memastikan masalah manajemen yang efektif dan memungkinkan perbaikan? Tabel 4.26 Checklist DS10

31 97 DS11 Manage Data (Mengelola Data) 1. Apakah data, informasi dan output yang diterima dan diproses sudah benar, akurat dan tepat waktu sesuai dengan kebutuhan bisnis? 2. Apakah perusahaan sudah memiliki prosedur yang efektif dan efisien untuk penyimpanan, penahanan, pengarsipan data untuk memenuhi tujuan bisnis? 3. Apakah perusahaan sudah menerapkan prosedur untuk menjaga inventaris yang disimpan, diarsipkan untuk memastikan kegunaan dan integritasnya? 4. Apakah perusahaan sudah menerapkan prosedur penyimpanan dan perlindungan data dan software yang sensitive pada saat data dan hardware ditransfer dan dibuang? 5. Apakah perusahaan sudah menerapkan prosedur backup dan restore sistem, aplikasi, data dan dokumentasi yang sejalan dengan persyaratan bisnis? 6. Apakah perusahaan sudah melaksanakan prosedur dan kebijakan persyaratan keamanan untuk penerimaan, pengolahan, penyimpanan dan output data untuk memenuhi tujuan bisnis? Tabel 4.27 Checklist DS11 DS12 Manage the Physical Environment (Mengelola Lingkungan Fisik) 1. Apakah perusahaan sudah melakukan pemilihan dan desain lokasi fisik untuk peralatan TI diperhitungkannya resiko seperti bencana alam dan buatan manusia, kesehatan dalam pekerjaan dan peraturan keselamatan? 2. Apakah perusahaan sudah memiliki pengamanan lokasi dan aset fisik yang secara efektif mencegah, mengurangi dan mendeteksi terhadap resiko pencurian, suhu, api, asap, air, listrik padam dan lain-lain? 3. Apakah di lingkungan perusahaan sudah terdapat prosedur dalam mengotorisasi, mencatat, memonitor terhadap aktivitas pengaksesan pengunjung, staf, dan pihak ketiga lainnya? 4. Apakah perusahaan sudah melakukan penginstalan peralatan dan perangkat khusus untuk pemantauan dan pengendalian terhadap faktor-faktor lingkungan? 5. Apakah perusahaan sudah melakukan pengelolaan terhadap daya dan peralatan komunikasi yang sesuai dengan hukum, peraturan, teknis, persyaratan bisnis, spesifikasi vendor, panduan keselamatan dan kesehatan? Tabel 4.28 Checklist DS12

32 98 DS13 Manage Operations (Mengelola Operasi) 1. Apakah perusahaan sudah memiliki prosedur operasional yang mencakup pengeseran serah terima kegiatan,masalah opersional, status update, eskalasi prosedur dan tanggungjawab? 2. Apakah perusahaan sudah membuat penjadwalan pekerjaan, proses, tugas-tugas ke urutan paling efisien dalam memenuhi kebutuhan bisnis? 3. Apakah perusahaan sudah memastikan kronologis informasi akan disimpan dalam operasi log untuk memungkinkan rekontruksi, tinjauan dan pemeriksaaan dari urutan waktu operasi dan kegiatan lainnya yang mendukung operasi? 4. Apakah perusahaan sudah menetapkan perlindungan yang sesuai pada dokumen dan output yang sensitive seperti praktek-praktek akuntansi dan pengelolaan inventaris aset TI atau seperti printer atau bukti keamanan? 5. Apakah perusahaan sudah menerapkan prosedur pemeliharaan infrastruktur untuk mengurangi frekuensi, dampak dari kegagalan atau penurunan kinerja? Tabel 4.29 Checklist DS13 Checklist Domain Monitor and Evaluate ME1 Monitor and Evaluate IT Performance (Mengawasi dan Mengevaluasi Kinerja TI) 1. Apakah perusahaan sudah melakukan pendekatan untuk mengukur solusi TI, pelayanan jasa dan memonitor kontribusi TI bagi bisnis? 2. Apakah perusahaan sudah dapat mengidentifikasi tersedianya data yang akan dikumpulkan untuk mengukur Target dan menetapkan proses untuk pengumpulan data yang tepat waktu dan akurat? 3. Apakah perusahaan sudah memiliki metode pemantauan kinerja (seperti : balace scorecard) yang mencatat target,menangkap pengukuran keseluruhan kinerja TI yang sesuai dengan sistem pematauan perusahaan? 4. Apakah perusahaan sudah memiliki penilaian kinerja dalam menganalisa dan memulai tindakan perbaikan dalam mengatasi penyebab yang terjadi dengan tepat waktu? 5. Apakah perusahaan telah melakukan pengembangan dan penyertaan laporan pada manajemen senior tentang kontribusi TI yang sesuai dengan tujuan yang dicapai, sumber daya yang digunakan dan mengidentifikasi resiko. 6. Apakah perusahaan sudah melakukan suatu tindakan perbaikan terhadap pemantauan kinerja seperti review, penugasan tanggung jawab untuk perbaikan dan pelacakan hasil tindakan yang dilakukan? Tabel 4.30 Checklist ME1

33 99 ME4 Provide IT Governance (Menyediakan Tata Kelola TI) 1. Apakah perusahaan sudah memiliki suatu kerangka tata kelola TI yang telah dipastikan patuh terhadap hukum dan peraturan yang sejalan dengan strategi dan tujuan perusahaan? 2. Apakah perusahaan sudah dapat Memastikan bahwa ada pemahaman bersama antara bisnis dan TI mengenai kontribusi potensial TI untuk strategi bisnis? 3. Apakah perusahaan sudah memiliki investasi asset IT lainnya dan memberikan nilai untuk mendukung strategi perusahaan dan tujuan? 4. Apakah perusahaan sudah melakukan pengawasan terhadap investasi, penggunaan dan alokasi sumber daya TI melalui penilaian TI dan operasi untuk menjamin sumber daya yang sesuai? 4.5 Apakah perusahaan sudah dapat memastikan bahwa bisnis dan TI secara teratur menilai dan melaporkan risiko-risiko yang berkaitan dengan IT dan dampaknya terhadap bisnis? Tabel 4.31 Checklist ME Evaluasi Pengendalian pada Customer Perspective Domain Kondisi Yang Seharusnya Kondisi Perusahaan Rekomendasi PO1 Telah memiliki dan menetapkan perencanaan strategis TI yang telah dikelola dengan baik serta sudah ada penilaian terhadap perencanaan tersebut dan telah dilakukan dokumentasi dengan baik serta analisis memiliki dan menentukan perencanaan strategis tetapi perencanaan tersebut belum dikelola dengan baik. memiliki perencanaan strategis yang baik dan cukup memenuhi standar tetapi melakukan pengelolaan yang lebih baik serta untuk mempertahankan dan mengembangkannya perusahaan harus melakukan dokumentasi, penilaian dan analisis PO2 Telah memiliki dan mendefinisikan arsitektur system informasi yang telah dikelola dengan baik serta telah dapat dilakukan penilaian terhadap arsitektur sistem informasi tersebut, serta telah dilakukan evaluasi dan analisis berkelanjutan terhadap sistem. membuat dan memiliki arsitektur sistem informasi tetapi sistem tersebut belum dikelola dengan baik membuat dan memiliki arsitektur sistem informasi yang cukup baik tetapi melakukan pengelolaan yang lebih baik serta melakukan dokumentasi, penilaian dan analisis

34 100 Domain Kondisi Yang Seharusnya Kondisi Perusahaan Rekomendasi PO3 Telah dapat menetapkan arah teknologi serta telah dikelola dengan baik dan telah dapat dilakukan penilaian, dokumentasi, dan analisis secara berkala terhadap tujuan arah teknologi. Perusahaan sudah memiliki dan menetapkan arah teknologi yang dimilikinya tetapi belum dikelola dengan baik dan belum dilakukan dokumentasi. memiliki dan menetapkan arah teknologi dengan cukup baik tetapi perusahaan perlu melakukan pengelolaan yang lebih baik serta melakukan dokumentasi, penilaian dan analisis PO4 PO5 Telah mendefinisikan proses TI, organisasi dan hubungannya yang terintegrasi serta telah dikelola dengan baik dan telah dapat dilakukan penilaian, dokumentasi, serta analisis proses TI secara Telah dapat mengatur investasi biaya di bidang TI yang dikelola dengan baik dan telah dilakukan dokumentasi serta telah dapat dilakukan penilaian terhadap hasil investasi serta telah dilakukan analisis berkelanjutan terhadap investasi biaya TI. menetapkan proses TI, organisasi dan hubungannya yang terintegrasi tetapi belum dikelola dengan baik dapat mengatur investasi biaya TI tetapi belum dikelola dengan baik. menetapkan proses TI, organisasi dan hubungannya yang integritas dengan cukup baik tetapi perusahaan perlu melakukan pengelolaan yang lebih baik serta melakukan dokumentasi, penilaian dan analisis dapat mengatur investasi biaya TI dengan cukup baik tetapi melakukan pengelolaan yang lebih baik serta melakukan dokumentasi, penilaian dan analisis PO6 PO7 Telah memiliki perencanaan dan mampu mengkomunikasikan tujuan dan arahan manajemen yang telah dikelola dengan baik dan telah dilakukan dokumentasi dan penilaian serta analisis secara berkelanjutan terhadap tujuan dan arahan menajemen yang ingin dicapai. Telah memiliki perencanaan dalam mengelola sumberdaya manusia dan telah mampu mengelolanya dengan baik dan telah didokumentasi serta telah dapat dilakukan penilaian dan analisis secara berkelanjutan terhadap pengelolaan sumber daya manusianya. memiliki perencanaan untuk mengkomunikasikan tujuan dan arah manajemen tetapi belum mengelolanya dengan baik. memiliki perencanaan dalam mengelola sumber daya manusia dan telah dikelola dengan baik serta telah dapat dilakukan penilaian. memiliki perencanaan untuk mengkomunikasikan tujuan dan arah manajemen dengan cukup baik tetapi perusahaan perlu melakukan pengelolaan yang lebih baik serta melakukan dokumentasi, penilaian dan analisis memiliki perencanaan dalam mengelola sumber daya manusia dengan baik dan telah memiliki penilaian tetapi untuk mempertahankan dan mengembangkannya