DAFTAR PUSTAKA. 1. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Audit Guidelines, IT Governance Institute.

Transkripsi

1 80 DAFTAR PUSTAKA 1. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Audit Guidelines, IT Governance Institute. 2. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Control Objectives, IT Governance Institute. 3. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT Executive Summary, IT Governance Institute. 4. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Framework, IT Governance Institute. 5. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Implementation Tool Set, IT Governance Institute. 6. COBIT Steering Committee and the IT Governance Institute, 2000, COBIT (3rd Edition) Management Guidelines, IT Governance Institute. 7. IT Governance Institute, 2003, Board Briefing on IT Governance, 2nd Edition. 8. IT Governance Institute, 2000, IT Governance Executive Summary. 9. IT Governance Institute, 2003, IT Governance Implementation Guide: How do I use COBIT to implement IT governance?. 10. IT Governance Institute, 2004, COBIT Mapping, Overview of International IT Guidance. 11. IT Governance Institute, 2005, COBIT 4.0: Control Objectives, Management Guidelines, Maturity Models. 12. Pandji, B, Wolfgang, 2007, Perancangan Model Tata Kelola Teknologi Informasi Berbasis Teknologi Informasi Berbasis COBIT Pada Proses Pengelolaan Data Studi Kasus : PT PLN (PERSERO) Distribusi Jawa Timur. Tesis Program Magister, Institut Teknologi Bandung. 13. PT. Surveyor Indonesia, 2006, Master Plan Teknologi Informasi PT. Surveyor Indonesia. 14. Sadrah, Roni, 2005, Perancangan Model Pengelolaan Teknologi Informasi PT.Pupuk Kujang pada domain PO dan AI Framework COBIT, Tesis Program Magister, Institut Teknologi Bandung.

2 LAMPIRAN

3 81 LAMPIRAN A PEMETAAN COBIT Pemetaan COBIT 3 ke COBIT 4.1 COBIT 3 COBIT 4.1 PO (Planning and Organisation) PO1 Mendefinisikan sebuah rencana TI strategis 1.1 TI sebagai bagian dari rencana 1.4 jangka pendek dan jangka panjang organisasi 1.2 Rencana jangka panjang TI Struktur dan pendekatan rencana 1.4 jangka panjang TI 1.4 Perubahan rencana jangka panjang 1.4 TI 1.5 Perencanaan jangka pendek untuk 1.5 fungsi TI 1.6 Komunikasi mengenai rencanarencana TI Pengawasan dan evaluasi rencanarencana TI Penilaian terhadap sistem yang 1.3 sedang berjalan PO2 Mendefinisikan arsitektur informasi 2.1 Model arsitektur informasi Kamus data perusahaan dan aturan 2.2 sintaks data 2.3 Skema klasifikasi data Tingkat keamanan 2.3 PO3 Menentukan arahan teknologi 3.1 Perencanaan infrastruktur teknologi Memonitor regulasi dan tren di 3.3 masa yang akan datang 3.3 Kontingensi infrastruktur teknologi Rencana perolehan hardware dan 3.1, AI3.1 software 3.5 Standar teknologi 3.4, 3.5 PO4 Mendefinisikan hubungan dan organisasi TI 4.1 Perencanaan atau steering commitee 4.3 TI 4.2 Penempatan fungsi TI pada 4.4 organisasi 4.3 Review mengenai pencapaian 4.5 organisasi 4.4 Peran dan tanggung jawab Tanggung jawab untuk jaminan 4.7 kualitas

4 Tanggung jawab untuk keamanan 4.8 fisik dan logis 4.7 Kepemilikan dan pemeliharaan Kepemilikan data dan sistem Supervisi Pembagian tugas Penugasan staf TI Deskripsi posisi atau pekerjaan 4.6 untuk staf TI 4.13 Personil utama TI Prosedur dan kebijakan staf yang 4.14 dikontrak 4.15 Relasi 4.15 PO5 Mengelola investasi TI 5.1 Anggaran tahunan pengoperasian TI Pengawasan manfaat dan biaya Manfaat dan biaya 1.1, Justifikasi 5.5 PO6 Mengkomunikasikan arahan dan tujuan manajemen 6.1 Lingkungan kendali informasi 6.1 positif 6.2 Tanggung jawab manajemen 6.3, 6.4, 6.5 terhadap kebijakan 6.3 Komunikasi mengenai kebijakan 6.3, 6.4, 6.5 organisasi 6.4 Sumberdaya untuk implementasi 6.4 kebijakan 6.5 Penetapan kebijakan 6.3, 6.4, Kepatuhan terhadap kebijakan, 6.3, 6.4, 6.5 prosedur dan standar 6.7 Komitmen kualitas 6.3, 6.4, Kebijakan framework kendali 6.2 internal dan keamanan 6.9 Hak kekayaan intelektual 6.3, 6.4, Kebijakan yang spesifik mengenai 6.3, 6.4, 6.5 permasalahan 6.11 Komunikasi mengenai kepedulian 6.3, 6.4, 6.5 terhadap kepedulian keamanan PO7 Mengelola sumberdaya manusia 7.1 Promosi dan perekrutan personil Kualifikasi personil Peran dan tanggung jawab Pelatihan personil Pelatihan lintas bagian atau 7.6 dukungan bagi pegawai 7.6 Prosedur izin bagi personil Evaluasi kinerja pekerjaan pegawai 7.8

5 Penghentian dan perubahan 7.8 pekerjaan PO8 Memastikan kesesuaian dengan kebutuhan eksternal 8.1 Review terhadap kebutuhan ME3.1 eksternal 8.2 Kaidah dan prosedur untuk ME3.2 menyesuaikan terhadap kebutuhan eksternal 8.3 Kesesuaian aspek ergonomis dan ME3.1 keamanan 8.4 Privasi, hak intelektual dan alur data ME E-commerce ME Kesesuaian dengan kontrak ME3.1 penjaminan PO9 Menilai resiko 9.1 Penilaian resiko bisnis 9.1, 9.2, Pendekatan penilaian resiko Identifikasi resiko Pengukuran resiko 9.1, 9.2, 9.3, Perencanaan tidakan resiko Penerimaan terhadap resiko Pemilihan perlindungan Komitmen penilaian resiko 9.1 PO10 Mengelola proyek 10.1 Framework manajemen proyek Partisipasi departemen pengguna 10.4 dalam inisiasi proyek 10.3 Tanggung jawab dan keanggotaan 10.8 tim proyek 10.4 Definisi proyek Penyetujuan proyek Penyetujuan fase proyek Master plan proyek Rencana jaminan kualitas sistem Perencanaan metode penjaminan Manajemen resiko proyek secara 10.9 formal Rencana pengujian AI Rencana pelatihan AI Rencana review pasca (sebagian) implementasi PO11 Mengelola kualitas 11.1 Rencana kualitas umum Pendekatan QA Perencanaan QA Review QA untuk kepatuhan 8.1, 8.2 terhadap prosedur dan estándar TI

6 Metodologi System Development 8.2, 8.3 Life Cycle (SDLC) 11.6 Metodologi SDLC untuk 8.2, 8.3 perubahan mendasar pada teknologi yang ada 11.7 Pembaharuan metodologi SDLC 8.2, Komunikasi dan koordinasi Framework perolehan dan 8.2 pemeliharaan untuk infrastruktur teknologi Hubungan pelaksana pihak ketiga 8.2, DS Standar dokumentasi program AI4.2, AI4.3, AI Standar pengujian program AI7.2, AI Standar pengujian sistem AI7.2, AI Pengujian pararel / pilot testing AI7.2, AI Dokumentasi pengujian sistem AI7.2, AI Evaluasi QA terhadap kepatuhan 8.2 standar pengembangan Review QA terhadap pencapaian 8.2 tujuan TI Metrik kualitas Laporan review QA 8.2 AI (Acquisition and Implementation) AI1 Mengidentifikasi solusi terotomasi 1.1 Definisi kebutuhan informasi Formulasi alternatif tindakan 1.3, 5.1, PO Formulasi strategi perolehan 1.3, 5.1, PO Kebutuhan layanan pihak ketiga 5.1, Studi kelayakan teknologi Studi kelayakan ekonomi Arsitektur informasi Laporan analisis resiko Kendali keamanan dengan 1.1, 1.2 pembiayaan yang efektif 1.10 Desain tahapan audit 1.1, Ergonomis Pemilihan perangkat lunak sistem 1.1, Kendali pengadaan Perolehan produk perangkat lunak Perawatan perangkat lunak oleh 5.4 pihak ketiga 1.16 Pemrograman aplikasi kontrak Penerimaan terhadap fasilitas Penerimaan terhadap teknologi 3.1, 3.2, 3.3, 5.4 AI2 Memperoleh dan menjaga perangkat lunak aplikasi 2.1 Metode desain Perubahan utama terhadap sistem 2.1, 2.2, 2.6

7 85 yang ada 2.3 Penyetujuan desain Dokumentasi dan definisi kebutuhan 2.2 file 2.5 Spesifikasi program Desain pengumpulan data sumber Dokumentasi dan definisi kebutuhan 2.2 masukan 2.8 Definisi antarmuka Antarmuka pengguna-mesin Dokumentasi dan definisi 2.2 kebutuhan pemrosesan 2.11 Dokumentasi dan definisi 2.2 kebutuhan keluaran 2.12 Kemampuan kontrol 2.3, Ketersediaan sebagai sebuah faktor 2.2 desain utama 2.14 Kebutuhan integritas TI dalam 2.3, DS11.5 software program aplikasi 2.15 Pengujian software aplikasi 2.8, Materi pendukung dan referensi untuk pengguna 2.17 Penilaian ulang terhadap desain 2.2 sistem AI3 Memperoleh dan menjaga infrastruktur teknologi 3.1 Penilaian terhadap software dan 3.1, 3.2, 3.3 hardware yang baru 3.2 Perawatan preventif untuk hardware DS Keamanan perangkat lunak sistem 3.1, 3.2, Instalasi perangkat lunak sistem 3.1, 3.2, Perawatan perangkat lunak sistem Kendali perubahan perangkat lunak 6.1, 7.3 sistem 3.7 Penggunaan dan pengawasan 3.2, 3.3, DS9.3 terhadap pemanfaatan sistem AI4 Mengembangkan dan menjaga prosedur 4.1 Tingkat layanan dan kebutuhan 4.1 operasional 4.2 Manual prosedur pengguna Manual operasi Materi pelatihan 4.3, 4.4 AI5 Instalasi dan akreditasi sistem 5.1 Pelatihan Pengukuran kinerja software 7.6, DS3.1 aplikasi 5.3 Rencana implementasi 7.2, Konversi sistem 7.5

8 Konversi data Rencana dan strategi pengujian Pengujian perubahan 7.4, Kinerja dan kriteria pengujian 7.6 pararel/ pilot testing 5.9 Pengujian penerimaan akhir Akreditasi dan pengujian kemanan Pengujian operasional Promosi untuk produksi Evaluasi mengenai pemenuhan 7.9 kebutuhan pengguna 5.14 Review pasca-implementasi oleh 7.9 pihak manajemen AI6 Mengelola perubahan 6.1 Kendali dan inisiasi perubahan 6.1, 6.4 kendali 6.2 Penilaian dampak Kendali perubahan Perubahan darurat Prosedur dan dokumentasi Perawatan resmi DS Kebijakan penerbitan software Distribusi software 7.9 DS (Delivery and Support) DS1 Mendefinisikan dan mengelola tingkat layanan 1.1 Framework SLA Aspek-aspek dari SLA Prosedur kinerja Pelaporan dan pengawasan Review terhadap SLA dan kontrak Barang-barang pengeluaran Program peningkatan layanan 1.6 DS2 Mengelola layanan pihak ketiga 2.1 Antarmuka supplier Hubungan pemilik Kontrak pihak ketiga AI Kualifikasi pihak ketiga AI Kontrak outsourcing AI Kesinambungan layanan Hubungan keamanan Pengawasan 2.4 DS3 Mengelola kinerja dan kapasitas 3.1 Kebutuhan ketersediaan dan kinerja Rencana ketersediaan Pelaporan dan pengawasan Perangkat pemodelan Pengelolaan kinerja proaktif 3.3

9 Prediksi kapasitas kerja Pengelolaan kapasitas sumberdaya Ketersediaan sumberdaya Penjadwalan sumberdaya 3.4 DS4 Memastikan layanan yang berkesinambungan 4.1 Framework kelangsungan TI Filosofi dan strategi rencana 4.1 kelangsungan TI 4.3 Kandungan rencana kelangsungan 4.2 TI 4.4 Memperkecil kebutuhan untuk 4.3 kelangsungan TI 4.5 Menjaga rencana kelangsungan TI Menguji rencana kelangsungan TI Pelatihan rencana kelangsungan TI Distribusi rencana kelangsungan TI Prosedur backup pemrosesan 4.8 alternatif departemen pengguna 4.10 Sumberdaya utama TI Hardware dan situs backup Penyimpanan backup di luar situs Prosedur pengemasan 4.10 DS5 Memastikan keamanan sistem 5.1 Mengelola pengukuran keamanan Identifikasi, autentifikasi dan akses Keamanan akses online data Manajemen akun pengguna Review manajemen untuk akun 5.4 pengguna 5.6 Kendali pengguna atas akunnya 5.4, Supervisi keamanan Klasifikasi data PO Manajemen hak akses dan 5.3 identifikasi pusat 5.10 Laporan tindakan keamanan dan 5.5 penyalahgunaan 5.11 Penanganan insiden Reakreditasi Kepercayaan pihak rekanan 5.3, AC Otorisasi transaksi Non-pengakuan Jalur terpercaya Perlindungan fungsi keamanan Manajemen kunci kriptografis Pencegahan, deteksi dan koreksi 5.9 atas software yang berbahaya 5.20 Arsitektur firewall dan koneksi 5.10

10 88 terhadap jaringan publik 5.21 Perlindungan atas nilai elektronis 13.4 DS6 Identifikasi dan alokasi biaya 6.1 Jenis pengeluaran Prosedur pembiayaan Prosedur penagihan dan 6.2, 6.4 pembayaran pengguna DS7 Mendidik dan melatih pengguna 7.1 Identifikasi kebutuhan pelatihan Organisasi pelatihan Pelatihan kepedulian dan prinsip PO7.4 keamanan DS8 Mendampingi dan memberikan saran pada pengguna 8.1 Help desk 8.1, Registrasi antrian pelanggan 8.2, 8.3, Eskalasi antrian pelanggan Pengawasan proses perizinan Analisis tren dan pelaporan 10.1 DS9 Mengelola konfigurasi 9.1 Perekaman konfigurasi Basis konfigurasi Pembukuan status Kendali konfigurasi Software ilegal Penyimpanan software AI Prosedur manajemen konfigurasi Akuntabilitas software 9.1, 9.2 DS10 Mengelola permasalahan dan insiden 10.1 Sistem manajemen permasalahan 10.1, 10.2, 10.3, Eskalasi permasalahan Tahapan audit dan pelacakan 8.2, 10.2 permasalahan 10.4 Otorisasi akses temporer dan 5.4, 12.3, AI6.3 darurat 10.5 Prioritas pemrosesan darurat 10.1, 8.3 DS11 Manajemen data 11.1 Prosedur persiapan data AC Prosedur otorisasi dokumen AC1 sumber 11.3 Pengumpulan data dokumen AC1 sumber 11.4 Penanganan kesalahan pada AC1 dokumen sumber 11.5 Penyimpanan dokumen sumber DS Prosedur otorisasi pemasukan data AC Pengecekan otorisasi, akurasi dan AC3 kelengkapan

11 Penanganan kesalahan pemasukan AC2, AC4 data 11.9 Integritas pemrosesan data AC Validasi dan pengditan AC4 pemrosesan data Penanganan kesalahan AC4 pemrosesan data Penanganan dan penyimpanan AC5, 11.2 keluaran Distribusi keluaran AC5, AC Rekonsiliasi dan penyeimbangan AC5 keluaran Penanganan kesalahan dan review AC5 keluaran Persyaratan keamanan untuk 11.6 laporan keluaran Perlidungan informasi yang AC6, 11.6 sensitif selama proses transmisi dan perpindahan Perlindungan informasi sensitif 11.4, AC6 yang tidak terpakai Manajemen penyimpanan Persyaratan dan periode 11.2 penyimpanan Sistem manajemen perpusatakaan 11.3 media Tanggung jawab manajemen 11.3 perpusatakaan media Restorasi dan backup Pekerjaan backup Penyimpanan backup 4.9, Pengarsipan Perlindungan pesan yang sensitif Autentifikasi dan integritas AC Integritas transaksi elektronik Melanjutkan integritas data yang 11.2 disimpan DS12 Mengelola fasilitas 12.1 Keamanan fisik 12.1, Profil situs TI yang rendah 12.1, Panduan bagi pengunjung Kesehatan dan keamanan personil 12.1, 12.5, ME Perlindungan atas faktor 12.4, 12.9 lingkungan 12.6 Sumber energi yang bebas 12.5 gangguan

12 90 DS13 Mengelola operasi 13.1 Manual instruksi dan prosedur 13.1 operasi pemrosesan 13.2 Dokumentasi proses start-up dan 13.1 operasi lainnya 13.3 Penjadwalan tugas Peralihan dari jadwal tugas standar Kontinuitas pemrosesan Pencatatan operasi Perangkat keluaran dan bentuk 13.4 khusus penyelamatan 13.8 Operasi jarak jauh 5.11 M (Monitoring) M1 Melakukan pengawasan proses 1.1 Mengumpulkan data pengawasan Menilai kinerja Menilai kepuasan pelanggan Pelaporan manajemen 1.5 M2 Menilai ketersediaan kontrol internal 2.1 Pengawasan kontrol internal Operasi berkala untuk kontrol 2.1 internal 2.3 Pelaporan level kontrol internal 2.2, Jaminan kontrol internal dan 2.4 keamanan operasional M3 Memperoleh jaminan independen 3.1 Akreditasi/sertifikasi kontrol 2.5, 4.7 internal dan keamanan independen dari layanan TI 3.2 Akreditasi/sertifikasi kontrol 2.5, 4.7 internal dan keamanan independen dari penyedia layanan pihak ketiga 3.3 Evaluasi efektivitas layanan TI 2.5, 4.7 secara independen 3.4 Evaluasi efektivitas penyedia 2.5, 4.7 layanan pihak ketiga secara independen 3.5 Jaminan independen atas kepatuhan 2.5, 4.7 terhadap hukum, persyaratan regulasi dan komitmen kontrak 3.6 Jaminan independen atas kepatuhan 2.5, 2.6, 4.7 terhadap hukum, persyaratan regulasi dan komitmen kontrak dari penyedia layanan pihak ketiga 3.7 Kompetensi dari fungsi jaminan 2.5, 4.7 independen 3.8 Keterlibatan audit secara proaktif 2.5, 4.7

13 91 M4 Melaksanakan audit independen 4.1 Perjanjian audit 2.5, Independensi 2.5, Standar dan etika profesional 2.5, Kompetensi 2.5, Perencanaan 2.5, Kinerja dari pelaksanaan audit 2.5, Pelaporan 2.5, Aktivitas kelanjutan 2.5, 4.7

14 92 Pemetaan COBIT 4.1 ke COBIT 3 COBIT 4.1 COBIT 3 PO (Planning and Organisation) PO1 Mendefinisikan sebuah rencana TI strategis 1.1 Manajemen nilai TI Kesesuaian bisnis dan TI Penilaian kinerja dan kapabilitas saat ini 1.7, Perubahan rencana jangka panjang TI Perencanaan jangka pendek untuk fungsi TI Komunikasi mengenai rencana-rencana TI Pengawasan dan evaluasi rencana-rencana TI Penilaian terhadap sistem yang sedang berjalan 1.3 PO2 Mendefinisikan arsitektur informasi 2.1 Model arsitektur informasi perusahaan Kamus data perusahaan dan aturan sintaks data Skema klasifikasi data 2.3, 2.4, DS Manajemen integritas - PO3 Menentukan arahan teknologi 3.1 Perencanaan arahan teknologi 3.1, 3.3, Perencanaan infrastruktur teknologi Pengawasan tren dan regulasi di masa depan 3.1, AI Standar teknologi Jajaran arsitektur TI 3.5 PO4 Mendefinisikan proses-proses, organisasi dan hubungan TI 4.1 Framework proses TI Komisi strategi TI Steering commitee TI Penempatan fungsi TI di organisasi Struktur organisasi TI Pembentukan peran dan tanggung jawab 4.4, Tanggung jawab untuk jaminan kualitas TI Tanggung jawab untuk resiko, keamanan dan 4.6 kepatuhan 4.9 Kepemilikan sistem dan data 4.7, Supervisi Pemisahan tugas Penugasan staf TI Personil utama TI Prosedur dan kebijakan staf yang dikontrak Relasi 4.15 PO5 Mengelola investasi TI 5.1 Framework manajemen finansial Prioritas dalam anggaran TI Penganggaran TI 5.1, Manajemen biaya 5.2, Manajemen manfaat 5.3

15 93 PO6 Mengkomunikasikan arahan dan tujuan manajemen 6.1 Lingkungan kendali dan kebijakan TI Framework kendali dan resiko TI perusahaan Manajemen kebijakan TI 6.2, 6.3, 6.5, 6.6, 6.7, 6.9, 6.10, Perubahan prosedur, standar dan kebijakan 6.2, 6.3, 6.4, 6.5, 6.6, 6.7, 6.9, 6.10, Komunikasi tujuan dan arahan TI 6.2, 6.3, 6.5, 6.6, 6.7, 6.9, 6.10, 6.11 PO7 Mengelola sumberdaya manusia TI 7.1 Promosi dan perekrutan personil Kompetensi personil Penugasan sesuai peran Pelatihan personil 7.3, DS Ketergantungan pada individu Prosedur izin bagi personil Evaluasi kinerja pekerjaan pegawai Penghentian dan perubahan pekerjaan 7.7, 7.8 PO8 Mengelola kualitas 8.1 Sistem manajemen kualitas 11.2, 11.3, Kaidah kualitas dan standar TI 11.5, 11.6, 11.7, 11.8, 11.9, 11.10, 11.16, 11.17, Standar perolehan dan pengembangan 11.5, 11.6, Fokus pada pelanggan Peningkatan secara kontinu Pengukuran, pengawasan dan review kualitas PO9 Menilai dan mengelola resiko 9.1 Framework manajemen resiko TI 9.1, 9.4, Pembentukan konteks resiko 9.1, Identifikasi kejadian 9.3, Penilaian resiko 9.1, 9.2, Respon terhadap resiko 9.5, 9.6, Pengawasan dan penjagaan atas rencana - tindakan resiko PO10 Mengelola proyek 10.1 Framework manajemen program Framework manajemen proyek Pendekatan manajemen proyek Komitmen stakeholder Pernyataan lingkup proyek Inisiasi tahapan proyek 10.5, Rencana proyek terintegrasi Sumberdaya proyek Manajemen resiko proyek Rencana kualitas proyek Kendali perubahan proyek Perencanaan proyek untuk metode 10.9

16 94 penjaminan Pengukuran, pelaporan dan pengawasan kinerja proyek Penutupan proyek (sebagian) AI (Acquisition and Implementation) AI1 Mengidentifikasi solusi terotomasi 1.1 Definisi dan maintenance untuk fungsi bisnis dan kebutuhan teknis - 1.1, 1.9, 1.10, 1.11, Laporan analisis resiko 1.8, 1.9, Studi kelayakan dan formulasi alternatif 1.3, 1.7, 1.12 rangkaian kegiatan 1.4 Kebutuhan dan keputusan serta penyetujuan - kelayakan AI2 Memperoleh dan menjaga perangkat lunak aplikasi 2.1 Desain tingkat tinggi 2.1, Desain rinci 2.2, 2.4, 2.5, 2.6, 2.7, 2.8, 2.9, 2.10, 2.11, 2.13, Kemampuan audit dan kendali aplikasi 2.12, Ketersediaan dan keamanan aplikasi Konfigurasi dan implementasi software - aplikasi yang diperoleh 2.6 Pembaharuan utama pada sistem yang ada Pengembangan software aplikasi Jaminan kualitas software Manajemen kebutuhan aplikasi Perawatan software aplikasi - AI3 Memperoleh dan menjaga infrastruktur teknologi 3.1 Rencana perolehan infrastruktur teknologi PO3.4, 1.18, 3.1, 3.3, Ketersediaan dan perlindungan sumberdaya 1.18, 3.1, 3.3, 3.4, 3.7 infrastruktur 3.3 Perawatan infrastruktur 1.18, 3.1, 3.3, 3.4, 3.5, Lingkungan pengujian kelayakan - AI4 Mendukung operasi dan penggunaan 4.1 Perencanaan untuk solusi operasional Transfer pengetahuan untuk manajemen bisnis PO11.11, Transfer pengetahuan untuk pengguna akhir PO11.11, 2.16, Transfer pengetahuan untuk staf pendukung PO11.11, 2.16, 4.3, 4.4 dan operasi AI5 Menyediakan sumberdaya TI 5.1 Kendali pengadaan 1.2, 1.3, 1.4, 1.13, Manajemen kontrak penyedia barang/jasa DS2.3, DS Pemilihan penyedia barang/jasa 1.4, DS Perolehan sumberdaya TI 1.15, 1.16, 1.17, 1.18 AI6 Mengelola perubahan 6.1 Prosedur dan standar perubahan 3.6, Penilaian, otorisasi dan pemilihan prioritas dampak 6.2

17 Perubahan darurat DS10.4, Pelaporan dan pelacakan status perubahan Dokumentasi dan penutupan perubahan 6.5 AI7 Instalasi dan akreditasi solusi dan perubahan 7.1 Pelatihan PO10.11, PO10.12, Rencana pengujian PO10.11, PO11.12, PO11.13, PO11.14, PO11.15, 5.3, Rencana implementasi 3.6, Lingkungan pengujian PO11.12, PO11.13, PO11.14, PO11.15, 2.15, Konversi data dan sistem 5.4, Pengujian perubahan 5.2, 5.7, 5.8, 5.10, Pengujian penerimaan akhir Promosi untuk produksi Review pasca implementasi 5.13, 5.14 DS (Delivery and Support) DS1 Mendefinisikan dan mengelola tingkat layanan 1.1 Framework manajemen tingkat layanan 1.1, Definisi layanan SLA 1.2, OLA Pengawasan dan pelaporan pencapaian tingkat 1.4 layanan 1.6 Review terhadap SLA dan kontrak 1.5, 1.7 DS2 Mengelola layanan pihak ketiga 2.1 Identifikasi seluruh hubungan penyedia 2.1 barang/jasa 2.2 Manajemen hubungan penyedia barang/jasa Manajemen resiko penyedia barang/jasa PO11.10, 2.6, Pengawasan kinerja penyedia barang/jasa 2.8 DS3 Mengelola kinerja dan kapasitas 3.1 Perencanaan kapasitas dan kinerja AI5.2, 3.1, Kapasitas dan kinerja saat ini Kapasitas dan kinerja di masa depan 3.5, Ketersediaan sumberdaya TI 3.2, 3.8, Pengawasan dan pelaporan 3.3 DS4 Memastikan layanan yang berkesinambungan 4.1 Framework kelangsungan TI 4.1, Rencana kelangsungan TI Sumberdaya utama TI 4.4, Menjaga rencana kelangsungan TI Menguji rencana kelangsungan TI Pelatihan rencana kelangsungan TI Distribusi rencana kelangsungan TI Pemulihan dan kelanjutan layanan TI 4.9, Penyimpanan backup di luar situs 4.12, Review pasca kelanjutan 4.13

18 96 DS5 Memastikan keamanan sistem 5.1 Manajemen keamanan TI 5.1, Rencana keamanan TI Manajemen identitas 5.2, 5.3, 5.9, 5.14, AI Manajemen akun pengguna 5.4, 5.5, 5.6, 5.13, Pengawasan, supervisi, dan pengujian 5.6, 5.7, 5.10 keamanan 5.6 Definisi insiden keamanan Perlindungan teknologi keamanan Manajemen kunci kriptografis Pencegahan, deteksi dan koreksi atas software 5.19 yang berbahaya 5.10 Keamanan jaringan Pertukaran data yang sensitif 5.15, 5.16, 11.29, 13.8 DS6 Identifikasi dan alokasi biaya 6.1 Jenis pengeluaran Pembukuan TI Pemodelan dan pelunasan biaya Maintenance model biaya 6.3 DS7 Mendidik dan melatih pengguna 7.1 Identifikasi kebutuhan pelatihan dan pendidikan 7.2 Penyampaian pelatihan dan pendidikan Evaluasi atas pelatihan yang diterima - DS8 Mengelola insiden dan bagian pelayanan 8.1 Bagian pelayanan 8.1, Registrasi antrian pelanggan 8.2, Eskalasi insiden 8.2, 8.3, Penutupan insiden Analisis tren dan pelaporan 8.1 DS9 Mengelola konfigurasi 9.1 Perekaman dan basis konfigurasi 9.1, 9.2, Identifikasi dan perawatan item-item 9.7, 9.8 konfigurasi 9.3 Review integritas konfigurasi 9.3, 9.4, 9.5 DS10 Mengelola permasalahan 10.1 Identifikasi dan klasifikasi permasalahan 8.5, 10.1, Pelacakan dan resolusi permasalahan Penyelesaian permasalahan 8.4, Integrasi konfigurasi, insiden dan manajemen -, 10.1 permasalahan DS11 Manajemen data 11.1 Kebutuhan bisnis untuk manajemen data Pengaturan penyimpanan 11.12, 11.19, 11.20, 11.26, Sistem manajemen perpustakaan media 11.21, 11.22, Pembuangan 11.18,

19 Restorasi dan backup AI2.14, Kebutuhan keamanan untuk manajemen data 11.16, 11.17, DS12 Mengelola lingkungan fisik 12.1 Layout dan pemilihan situs 12.1, 12.2, Pengukuran keamanan fisik 12.1, Akses fisik 10.4, Perlindungan atas faktor lingkungan 12.1, 12.5, ME Manajemen fasilitas fisik 12.4, 12.6, 12.9 DS13 Mengelola operasi 13.1 Instruksi dan prosedur operasi pemrosesan 13.1, 13.2, 13.5, Penjadwalan tugas 13.3, Pengawasan infrastruktur TI Perangkat keluaran dan dokumen sensitif 5.21, Perawatan preventif untuk hardware AI3.2 ME (Monitoring and Evaluation) ME1 Mengawasi dan mengevaluasi kinerja TI 1.1 Pendekatan pengawasan 1.0* 1.2 Definisi dan pengumpulan data pengawasan 1.1, Metode pengawasan Penilaian kinerja Pelaporan eksekutif dan direksi Tindakan perbaikan - ME2 Mengawasi dan mengevaluasi kontrol internal 2.1 Pengawasan framework kendali internal 2.0*, Review supervisi 2.1, Pengecualian kendali Penilaian kendali secara mandiri Jaminan kendali internal Kendali internal pada pihak ketiga Tindakan perbaikan - ME3 Memastikan pemenuhan terhadap kebutuhan eksternal 3.1 Identifikasi terhadap kebutuhan eksternal, legal, regulasi dan kesesuaian kontrak PO8.1, PO8.3, PO8.4, PO8.5, PO8.6, DS Optimalisasi respon terhadap kebutuhan PO8.2 eksternal 3.3 Evaluasi kesesuaian dengan kebutuhan - eksternal 3.4 Jaminan positif terhadap kesesuaian Pelaporan terintegrasi - ME4 Melaksanakan tata kelola TI 4.1 Pembentukan framework tata kelola TI Keselarasan strategis Pemenuhan nilai Manajemen sumberdaya Manajemen resiko Pengukuran kinerja Jaminan independen -

20 98 * ME1.0 dan ME2.0 terdapat pada dokumen Control Practices yang diterbitkan oleh ITGI (2004)

21 99 LAMPIRAN B KUISIONER MANAGEMENT AWARENESS KUISIONER PENGELOLAAN TEKNOLOGI INFORMASI PT. SURVEYOR INDONESIA Kuisioner ini adalah bagian dari penelitian tesis mahasiswa Magister Sistem Informasi Departemen Teknik Informatika Institut Teknologi Bandung, yang bertujuan untuk mendapatkan data-data mengenai pengelolaan IT yang saat ini diterapkan oleh PT. Surveyor Indonesia. Kuisioner ini dikembangkan dari standar pengelolaan IT COBIT (Control Objectives for Information and related Technology), yang difokuskan pada 2 domain utama, yaitu : Delivery & Support (DS), yang menitikberatkan pada proses pelayanan yang diberikan oleh sistem IT yang diterapkan. Monitoring (M), yang menitikberatkan pada proses pengawasan dan kontrol kualitas layanan yang diberikan oleh sistem IT yang diterapkan. Setiap domain terdiri dari beberapa poin yang telah dirangkum dan diubah menjadi sebuah pernyataan. Untuk itu mohon kiranya Bapak/Ibu dapat memberikan opini dan pendapatnya mengenai pernyataan-pernyataan yang akan diberikan dalam kuisioner ini. Pengisian kuisioner dilakukan dengan memberikan checklist ( ) pada kolom yang dianggap sesuai dengan pendapat Bapak/Ibu (berdasarkan tingkat keperluan dan pihak yang sebaiknya menangani hal-hal dalam pernyataan). Kuisioner ini harap diisi dan dikembalikan selambat-lambatnya pada hari Selasa, 8 Januari Nama Responden Jabatan Responden Divisi / Bagian

22 100 Kode Objektif Tingkat keperluan Sebaiknya ditangani oleh Sangat Tidak Perlu Tidak Perlu Bisa Diterapkan Perlu Sangat Perlu Divisi IT Divisi Lain Pihak Luar Tidak Tahu Delivery & Support DS1 Mendefinisikan dan mengelola tingkat layanan Tingkat layanan IT dan dukungan perusahaan terhadap ketersediaan layanan tersebut harus dikelola dan didefinisikan dengan jelas dalam hal uraian tanggung jawab, waktu respon, pengawasan dan pelaporannya. DS2 Mengelola layanan pihak ketiga Pengelolaan terhadap layanan IT yang dilakukan/disediakan oleh pihak eksternal (third party), misalnya untuk proses outsourcing, harus mencakup kesepakatan layanan, kontrak, pengawasan, dan aspek legalitasnya. DS3 Mengelola kinerja dan kapasitas Pengelolaan kinerja, kapasitas dan sumber daya IT untuk mempertahankan dan menjaga ketersediaan layanan IT. DS4 Memastikan layanan yang berkelanjutan Memastikan ketersediaan dan kesinambungan layanan-layanan IT dalam memenuhi kebutuhan bisnis perusahaan melalui kegiatan analisa resiko-resiko yang terkait dengan IT, keamanan sistem, dan ketersediaan sumber daya yang diperlukan. DS5 Memastikan keamanan sistem Memastikan keamanan sistem untuk mengamankan dan menjaga informasi perusahaan dari pihak-pihak yang tidak bertanggung jawab untuk melakukan halhal yang tidak diharapkan, seperti menghilangkan, merubah dan merusak informasi tersebut. DS6 Melakukan identifikasi dan alokasi biaya Identifikasi dan alokasi anggaran IT untuk menjaga ketersediaan sumber daya IT yang dibutuhkan dan memastikan bahwa sumber daya tersebut digunakan secara optimal.

23 101 Kode Objektif Tingkat keperluan Sebaiknya ditangani oleh Sangat Tidak Perlu Tidak Perlu Bisa Diterapkan Perlu Sangat Perlu Divisi IT Divisi Lain Pihak Luar Tidak Tahu DS7 Mendidik dan melatih pengguna Pelatihan dan pendidikan bagi para pengguna (user) agar mereka dapat menggunakan IT secara efektif dan mengetahui resiko serta tanggung jawabnya dalam menggunakan teknologi IT tersebut. DS8 DS9 Mendampingi dan memberikan saran kepada pengguna Pengadaan fasilitas yang dapat membantu dan memberikan saran atau solusi bagi pengguna dalam menghadapi masalah dalam penggunaan IT. Mengelola konfigurasi Pengelolaan konfigurasi IT, pendataan, penghitungan dan verifikasi keberadaan fisik komponen IT yang dimiliki organisasi untuk mengantisipasi terjadinya hal-hal yang tidak diharapkan. DS10 Mengelola permasalahan dan insiden Pengelolaan permasalahan-permasalahan dan insiden yang terkait dengan penerapan dan pengoperasian IT di perusahaan untuk memastikan permasalahan-permasalahan tersebut telah ditangani dan ditindaklanjuti dengan baik. DS11 Mengelola data Pengelolaan data (proses input, pemrosesan dan output) untuk menjamin integritas, keakuratan dan validitas data. DS12 Mengelola fasilitas Pengelolaan dan penyediaan fasilitas yang baik, perlindungan atas seluruh peralatan dan SDM IT dari ancaman kerusakan/bencana. DS13 Mengelola operasi Pengelolaan operasional, memastikan fungsi-fungsi dukungan IT seperti preventive maintenance dan network service management dilakukan secara teratur.

24 102 Kode Objektif Tingkat keperluan Sebaiknya ditangani oleh Sangat Tidak Perlu Tidak Perlu Bisa Diterapkan Perlu Sangat Perlu Divisi IT Divisi Lain Pihak Luar Tidak Tahu Monitoring M1 Melakukan pengawasan proses Pengawasan terhadap proses-proses IT untuk memastikan pencapaian kinerja yang diharapkan dari setiap proses IT yang telah dilakukan. M2 Menilai ketersediaan kontrol internal Melakukan penilaian atas kelayakan proses pengendalian (kontrol) yang dilakukan oleh perusahaan untuk memastikan pencapaian tujuan dan kontrol untuk setiap proses IT. M3 M4 Memperoleh jaminan independen Adanya jaminan dari pihak manajemen perusahaan agar dengan dilakukannya pengelolaan IT perusahaan akan dapat meningkatkan kepercayaan antara organisasi, konsumen, dan penyedia layanan pihak ketiga (outsource). Melakukan audit independen Menyelenggarakan audit IT yang dilakukan oleh pihak independen untuk meningkatkan kepercayaan dan memastikan kesesuaian penerapan dan pengelolaan IT dalam mendukung pencapaian tujuan perusahaan. - TERIMA KASIH -

25 103 LAMPIRAN C PENGUKURAN TINGKAT KEMATANGAN WAWANCARA PENGUKURAN TINGKAT KEMATANGAN PENGELOLAAN TEKNOLOGI INFORMASI PT. SURVEYOR INDONESIA Wawancara pengukuran tingkat kematangan ini adalah bagian dari penelitian tesis mahasiswa Magister Sistem Informasi Departemen Teknik Informatika Institut Teknologi Bandung, yang bertujuan untuk mendapatkan data-data mengenai pengelolaan Teknologi Informasi (TI) di PT. Surveyor Indonesia. Wawancara ini dikembangkan dari standar pengelolaan TI COBIT (Control Objectives for Information and related Technology), yang difokuskan pada 2 domain utama, yaitu : 1. Delivery & Support (DS), yang menitikberatkan pada proses pelayanan yang diberikan oleh TI yang diterapkan. 2. Monitoring (M), yang menitikberatkan pada proses pengawasan dan kontrol kualitas layanan yang diberikan oleh TI yang diterapkan. Wawancara pengukuran tingkat kematangan ini bertujuan untuk mengetahui tingkat kematangan pada proses saat ini dan tingkat kematangan proses yang diharapkan. Hasil pengukuran tingkat kematangan akan menjadi acuan identifikasi prioritas peningkatan proses. Pengukuran tingkat kematangan ini dilakukan dengan mempertimbangkan kematangan 6 (enam) atribut kematangan COBIT yang meliputi: 1. Kepedulian dan komunikasi 2. Kebijakan, standar dan prosedur 3. Perangkat dan otomasi 4. Keahlian dan kepakaran 5. Tanggung jawab dan akuntabilitas 6. Penentuan dan pengukuran pencapaian Pertanyaan-pertanyaan dalam wawancara ini dikelompokkan menurut atribut kematangan dan proses yang diamati, dan pada tiap kelompok pertanyaan akan melibatkan 2 (dua) pertanyaan yang masing-masing mewakili kondisi saat ini dan kondisi yang diharapkan. Masing-masing pertanyaan mempunyai 6 (enam) pilihan jawaban yang menunjukkan tingkat kematangan terhadap atribut tertentu pada proses yang diamati. Pilihan-pilihan jawaban tersebut dari a sampai f secara berurut-turut merepresentasikan tingkat kematangan yang semakin meningkat terhadap suatu atribut pada proses-proses di domain DS dan M. Dengan mengetahui posisi kematangan saat ini dan yang diharapkan, selanjutnya akan dilakukan analisis yang diharapkan dapat menjadi dasar dalam pendefinisian rancangan solusi untuk perbaikan dalam proses-proses di domain DS dan M. Untuk itu mohon kiranya Bapak/Ibu berkenan memberikan jawaban mengenai pertanyaan-pertanyaan yang akan diajukan dalam wawancara ini. Nama Responden Jabatan Responden Divisi / Bagian

26 104 Mendefinisikan dan Mengelola Tingkat Layanan (DS1) I Kepedulian dan komunikasi a. Pihak manajemen belum menyadari pentingnya proses untuk mendefinisikan tingkat layanan. b. Telah ada kepedulian untuk mengelola tingkat layanan, namun prosesnya masih bersifat informal dan reaktif. c. Adanya kesadaran akan kebutuhan mendefinisikan dan mengelola tingkat layanan untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan mendefinisikan dan mengelola tingkat layanan. d. Adanya pemahaman akan kebutuhan mendefinisikan dan mengelola tingkat layanan. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses mendefinisikan dan mengelola tingkat layanan. e. Kebutuhan bagi mendefinisikan dan mengelola tingkat layanan secara utuh telah dipahami dan tindakan yang diperlukan sudah diterima secara luas di organisasi. Secara berkala diadakan forum internal perusahaan untuk dapat mencari solusi bersama atas permasalahan yang timbul dalam mendefinisikan dan mengelola tingkat layanan. f. Kebutuhan mendefinisikan dan mengelola tingkat layanan dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan di waktu yang akan datang senantiasa dipelajari secara proaktif. No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mendefinisikan dan mengelola tingkat layanan saat ini? 2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mendefinisikan dan mengelola tingkat layanan?

27 105 II Kebijakan, standar dan prosedur a. Tidak ada kebijakan, standar dan prosedur dalam mendefinisikan dan mengelola tingkat layanan. b. Menggunakan pendekatan ad hoc untuk mendefinisikan dan mengelola tingkat layanan, namun belum menggunakan prosedur dengan pendekatan formal. c. Terdapat SLA yang telah disepakati, namun bersifat informal dan hanya dipakai sekali saja. d. Kriteria tingkat layanan telah didefinisikan dan disetujui dengan user, melalui peningkatan taraf standarisasi. Proses pengembangan SLA sejalan dengan tujuan untuk menilai tingkat layanan dan kepuasan pelanggan. e. Tingkat layanan lebih didefinisikan dalam tahap pendefinisian kebutuhan sistem dan digabungkan dalam desain aplikasi dan lingkungan operasional. Analisis akar permasalahan dilakukan apabila tingkat layanan tidak terpenuhi. f. Kriteria untuk mendefinisikan tingkat layanan didasarkan pada kebutuhan utama bisnis dan mencakup ketersediaan, kehandalan, kinerja, kapasitas pertumbuhan, dukungan pengguna, perencanaan kelangsungam dan pertimbangan keamanan. No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mendefinisikan dan mengelola tingkat layanan saat ini? 2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mendefinisikan dan mengelola tingkat layanan?

28 106 III Perangkat dan otomasi a. Tidak ada perangkat dan otomasi dalam mendefinisikan dan mengelola tingkat layanan. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan perangkat pengelolaan tingkat layanan. c. Telah digunakannya perangkat untuk mendefinisikan dan mengelola tingkat layanan sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam mendefinisikan dan mengelola tingkat layanan. Telah digunakan beberapa perangkat namun masih belum terintegrasi. e. Sistem pelaporan untuk mengawasi tingkat layanan menjadi lebih terotomasi. f. Tingkat layanan dievaluasi kembali secara kontinu untuk memastikan kesesuaian antara TI dan tujuan bisnis, dengan tetap memanfaatkan keunggukan teknologi dan peningkatan dalam rasio harga/kinerja produk. No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mendefinisikan dan mengelola tingkat layanan saat ini? 2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mendefinisikan dan mengelola tingkat layanan?

29 107 IV Keahlian dan kepakaran a. Tidak ada pelatihan untuk memperoleh pengetahuan dan keahlian dalam mendefinisikan dan mengelola tingkat layanan b. Belum ada perencanaan untuk melakukan pelatihan dalam mengelola tingkat layanan. c. Pelaporan tingkat layanan tidak lengkap, tidak relevan atau tidak memiliki arahan dan bergantung pada keahlian dan inisiatif dari masing-masing manajer. d. Hubungan antara dana yang tersedia dan tingkat layanan yang diharapkan ditingkatkan secara formal. e. Kebutuhan skill secara rutin diupdate untuk seluruh proses mendefinisikan dan mengelola tingkat layanan untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait mendefinisikan dan mengelola tingkat layanan telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. f. Seluruh proses tingkat layanan mengarah pada proses peningkatan yang berkelanjutan. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam mendefinisikan dan mengelola tingkat layanan yang juga merupakan peluang pengembangan kedepan. No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mendefinisikan dan mengelola tingkat layanan saat ini? 2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mendefinisikan dan mengelola tingkat layanan?

30 108 V Tanggung jawab dan akuntabilitas a. Tidak ada tanggung jawab dan kebijakan yang ditetapkan dalam melakukan pengawasan terhadap proses. b. Tanggung jawab dan akuntabilitas untuk mengawasi kinerja didefinisikan secara informal. c. Seorang koordinator tingkat layanan dipilih dengan tanggung jawab yang jelas, namun tidak memiliki otoritas yang cukup. d. Tanggung jawab telah didefinisikan dengan baik, namun dengan otoritas yang tidak mengikat. e. Resiko finansial dan operasional yang terkait dengan tidak terpenuhinya tingkat layanan yang disepakati telah didefinisikan dan dipahami secara jelas. f. Manajemen TI memiliki sumberdaya dan akuntabilitas yang dibutuhkan untuk memenuhi sasaran kinerja tingkat layanan, kompensasi eksekutif distrukturkan untuk memberikan insentif bagi pemenuhan pencapaian organisasi. No. Pertanyaan a b c d e f 1 Sejauhmana penetapan tanggung jawab dan akuntabilitas dalam mendefinisikan dan mengelola tingkat layanan saat ini? 2 Apa harapan di masa yang akan datang terkait dengan penetapan tanggung jawab dan akuntabilitas dalam mendefinisikan dan mengelola tingkat layanan?

31 109 VI Penentuan dan pengukuran pencapaian a. Tidak ada pencapaian dalam mendefinisikan dan mengelola tingkat layanan. b. Pengukuran kinerja bersifat kualitatif, pencapaian didefinisikan secara tidak tepat. Pelaporan kinerja jarang dilakukan dan tidak konsisten. c. Proses kesesuaian dengan SLA bersifat sukarela dan tidak mengikat. d. Tingkat layanan lebih didasarkan pada perbandingan industri dan terkadang tidak mengacu pada kebutuhan spesifik organisasi. Penurunan tingkat layanan dapat diidentifikasi, namun perencanaan resolusi masih bersifat informal. e. Kepuasan pelanggan diukur dan dinilai secara rutin. Pengukuran kinerja lebih mencerminkan kebutuhan pengguna akhir daripada pencapaian TI saja. Kriteria pengukuran tingkat layanan pengguna telah distandarisasi dan merefleksikan norma-norma industri. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. f. Tingkat layanan yang diharapkan dievaluasi terhadap norma-norma industri, tetapi juga mencerminkan pencapaian strategis yang spesifik pada unit-unit bisnis. Manajemen senior mengawasi ukuran kinerja sebagai bagian dari proses perkembangan yang berkelanjutan. No. Pertanyaan a b c d e f 1 Sejauhmana telah dilakukan penentuan dan pengukuran pencapaian dalam mendefinisikan dan mengelola tingkat layanan saat ini? 2 Apa harapan di masa yang akan datang terkait dengan penentuan dan pengukuran pencapaian dalam mendefinisikan dan mengelola tingkat layanan?

32 110 Proses Mengelola Layanan Pihak Ketiga (DS2) I Kepedulian dan komunikasi a. Layanan pihak ketiga tidak disetujui atau direview oleh pihak manajemen. b. Manajemen perduli terhadap kebutuhan untuk mendokumentasikan kebijakan dan prosedur untuk pengadaan layanan pihak ketiga, termasuk penandatanganan kontrak. c. Adanya kesadaran akan kebutuhan pengelolaan layanan pihak ketiga untuk segera ditindaklanjuti. Diselenggarakan semacam forum untuk dapat mengkomunikasikan permasalahan terkait dengan pengelolaan layanan pihak ketiga. d. Adanya pemahaman akan kebutuhan pengelolaan layanan pihak ketiga. Kebutuhan tersebut telah dipahami dan diterima di perusahaan secara keseluruhan. Adanya semacam surat edaran dari manajemen atas untuk dapat melakukan langkah-langkah efektif untuk melakukan proses pengelolaan layanan pihak ketiga. e. Kebutuhan didefinisikan dan dihubungkan dengan tujuan bisnis. Seluruh pihak yang terlibat memiliki kepedulian terhadap ekspektasi layanan, biaya dan sasaran. f. Kebutuhan pengelolaan layanan pihak ketiga dan pemahamannya atas langkah yang diperlukan telah dipahami dan diterima di organisasi. Keperluan dan kebutuhan kedepan senantiasa digali secara proaktif. Mengikuti forum berskala nasional maupun internasional untuk dapat melihat kecenderungan kedepan terkait dengan permasalahan dalam pengelolaan layanan pihak ketiga yang juga merupakan peluang pengembangan kedepan. No. Pertanyaan a b c d e f 1 Sejauhmana tingkat kepedulian pihak manajemen dan komunikasi yang dilakukan terkait dengan kebutuhan mengelola layanan pihak ketiga saat ini? 2 Apa harapan di masa yang akan datang terkait dengan kepedulian dan komunikasi mengenai kebutuhan mengelola layanan pihak ketiga?

33 111 II Kebijakan, standar dan prosedur a. Tidak ada kebijakan dan prosedur formal mengenai pelaksanaa kontrak dengan pihak ketiga. b. Tidak ada standar untuk kesepakatan. Menggunakan pendekatan ad hoc untuk mengelola layanan pihak ketiga, namun belum menggunakan prosedur dengan pendekatan formal. c. Proses untuk mengelola layanan pihak ketiga dan pemberian layanan bersifat informal. Berkas kontrak yang ditandatangani digunakan bersama dengan kesepakatan vendor standar dan deskripsi layanan yang akan diberikan d. Persetujuan kontrak didasarkan pada standar yang berlaku. Prosedur yang telah terdokumentasi dengan baik digunakan untuk mengelola pengadaan pihak ketiga, disertai dengan proses yang jelas untuk memastikan pemilihan dan negosiasi yang baik dengan vendor. Hubungan dengan pihak ketiga hanya bersifat kontraktual. Penjelasan mengenai layanan yang diberikan dirinci dalam kontrak dan mencakup kebutuhan operasional, legal dan kendali. e. Kriteria formal dan terstandarisasi dibuat untuk mendefinisikan lingkup kerja, layanan yang akan diberikan, asumsi, penyampaian, skala waktu, harga, pengaturan pembiayaan, tanggung jawab, dan kesepakatan bisnis. f. Proses ditujukan untuk mereview kinerja layanan terhadap kesepakatan kontrak, menyediakan masukan bagi pemberian layanan pihak ketiga saat ini dan yang akan datang. Kontrak yang ditandatangani bersama direview secara periodik setelah pekerjaan dimulai. Bukti kepatuhan terhadap kebutuhan kontrak operasional, legal dan kendali dimonitor dan tindakan korektif telah dilaksanakan. Pelaporan yang didefinisikan dan komprehensif terkait dengan proses kompensasi pihak ketiga. Pelaporan memberikan peringatan awal atas permasalahan potensial untuk memfasilitasi resolusi secara berkala. No. Pertanyaan a b c d e f 1 Sejauhmana tingkat penerapan kebijakan, standar dan prosedur telah dilakukan dalam mengelola layanan pihak ketiga saat ini? 2 Apa harapan di masa yang akan datang terkait dengan penerapan kebijakan, standar dan prosedur dalam mengelola layanan pihak ketiga?

34 112 III Perangkat dan otomasi a. Keberadaan obligasi kontrak untuk pelaporan tidak membuat pihak manajemen senior peduli terhadap kualitas layanan yang diberikan. b. Beberapa perangkat mungkin telah ada, karena memang sudah tersedia (bawaan) dalam perangkat standar. Belum ada rencana menggunakan software perangkat pengelolaan layanan pihak ketiga. c. Laporan telah tersedia namun tidak mendukung tujuan bisnis. Telah digunakannya perangkat untuk membantu proses pengelolaan layanan pihak ketiga sebagai solusi yang dikembangkan atas inisiatif perorangan berdasarkan pengalaman/keahliannya dan dibantu oleh vendor. d. Adanya rencana penggunaan perangkat standar untuk melakukan otomasi dalam pengelolaan layanan pihak ketiga. Telah digunakan beberapa perangkat namun masih belum terintegrasi. e. Beberapa perangkat seperti model pembiayaan transfer telah digunakan dalam proses pengadaan layanan pihak ketiga. f. Perangkat yang canggih digunakan dengan otomasi pengelolaan layanan pihak ketiga secara maksimal dan terintegrasi dengan perangkat lain yang terkait. Perangkat digunakan untuk mendukung upaya perbaikan proses dan secara otomatis mampu mendeteksi kelemahan kontrol yang terjadi. No. Pertanyaan a b c d e f 1 Sejauhmana penggunaan perangkat dan otomasi dalam mengotomasikan proses-proses terkait dengan mengelola layanan pihak ketiga saat ini? 2 Apa harapan di masa yang akan datang terkait dengan penggunaan perangkat dan otomasi dalam proses mengelola layanan pihak ketiga?

35 113 IV Keahlian dan kepakaran a. Tidak ada upaya pelatihan atau peningkatan kepakaran dalam mengelola layanan pihak ketiga. b. Belum ada dalam perencanaan adanya pelatihan dalam mengelola layanan pihak ketiga dan belum ada pelatihan formal dilakukan. c. Kebutuhan keahlian minimal telah diidentifikasi untuk menangani permasalahan kritis dalam mengelola layanan pihak ketiga. Pelatihan dilakukan masih secara informal dan didasarkan atas kebutuhan saat itu. d. Kebutuhan keahlian dalam mengelola layanan pihak ketiga telah diidentifikasi dan didokumentasikan secara lengkap. Perencanaan pelatihan formal telah dikembangkan. Pelatihan formal bagi staf mulai dilakukan, walau masih didasarkan pada inisiatif perorangan. e. Kebutuhan keahlian secara rutin diupdate untuk seluruh proses pengelolaan layanan pihak ketiga untuk mendapatkan keahlian dan sertifikasi. Pelatihan formal terhadap staf terkait pengelolaan layanan pihak ketiga telah dilakukan sesuai dengan rencana dan sharing pengetahuan telah dilakukan. Dilakukan evaluasi terhadap efektivitas rencana pelatihan. f. Pihak ketiga bergantung pada review periodik secara independen, dengan masukan yang berasal dari review. Perusahaan secara formal memberikan kesempatan pada staf untuk mengembangkan skill secara berkelanjutan. Pelatihan dan pembelajaran mendukung external best practices serta telah menggunakan konsep dan teknik terkini. Pelatihan untuk pengelolaan layanan pihak ketiga telah dilembagakan. Knowledge sharing menjadi budaya perusahaan. Ahli dari luar dimanfaatkan sebagai konsultan yang mampu memberikan panduan. No. Pertanyaan a b c d e f 1 Sejauhmana pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses dalam mengelola layanan pihak ketiga saat ini? 2 Apa harapan di masa yang akan datang terkait dengan pengembangan keahlian dan kepakaran sumber daya manusia dalam bentuk pelatihan dilakukan untuk mendukung proses mengelola layanan pihak ketiga?