Bab II Tinjauan Pustaka

Transkripsi

1 Bab II Tinjauan Pustaka II.1 Tata Kelola Teknologi Informasi Pengelolaan informasi dan teknologi informasi yang efektif merupakan hal yang sangat penting untuk kelangsungan dan kesuksesan sebuah organisasi. Skala kepentingan tersebut meningkat dalam lingkungan informasi dimana informasi berpindah tanpa batasan waktu, jarak dan kecepatan. Bagi sebagian besar organisasi, informasi dan teknologi yang mendukungnya mewakili aset organisasi yang paling berharga [1]. Dalam menghadapi lingkungan bisnis yang sangat kompetitif dan berubah dengan cepat, manajemen telah meningkatkan ekspektasi yang terkait dengan fungsi delivery TI. Ekspektasi tersebut antara lain adalah peningkatan kualitas, fungsionalitas dan kemudahan penggunaan, pengurangan waktu delivery, dan peningkatan tingkat layanan secara kontinu yang dicapai dengan biaya serendah mungkin. Sebagian besar organisasi menyadari manfaat potensial dari penerapan teknologi. Pemahaman dan pengelolaan resiko yang terkait dengan penerapan teknologi merupakan hal yang penting bagi keberhasilan organisasi [1,6]. Beberapa perubahan dalam TI dan lingkungan pengoperasiannya mengharuskan kebutuhan untuk mengelola resiko yang terkait dengan TI. Ketergantungan pada sistem TI dan informasi merupakan keharusan untuk mendukung proses bisnis utama. Sebagai akibatnya lingkungan regulasi mempertegas kendali atas informasi. Hal tersebut dipicu oleh meningkatnya pengetahuan mengenai bencana sistem informasi dan penipuan elektronik. Pengelolaan resiko yang terkait dengan TI saat ini dipahami sebagai bagian utama dari tata kelola perusahaan [6]. Tata kelola TI menjadi semakin penting dalam tata kelola perusahaan dan didefinisikan sebagai sebuah struktur hubungan dan proses untuk mengarahkan dan mengendalikan perusahaan untuk mencapai tujuan perusahaan melalui penambahan nilai dengan tetap menyeimbangkan resiko dan manfaat dari TI dan proses-prosesnya [1]. 8

2 9 Tata kelola TI merupakan bagian integral dari keberhasilan tata kelola perusahaan yang dicapai melalui peningkatan terukur secara efisien dan efektif dalam prosesproses di perusahaan. Tata kelola TI menyediakan struktur yang menghubungkan proses-proses TI, sumberdaya TI dan informasi dengan strategi dan tujuan perusahaan. Tata kelola TI mengintegrasikan dan membentuk pola perencanaan dan pengorganisasian, perolehan dan penerapan, penyampaian dan dukungan, serta pengawasan kinerja TI untuk memastikan bahwa informasi perusahaan dan teknologi terkait mendukung tujuan bisnis [1,6]. Organisasi harus memenuhi kebutuhan kualitas, kelayakan dan keamanan informasinya sebagaimana pada pemenuhan kebutuhan aset-aset lainnya. Manajemen juga harus mengoptimalkan penggunaan sumberdaya yang tersedia, seperti data, sistem aplikasi, teknologi, fasilitas dan manusia. Dalam melakukan tanggung jawab tersebut dalam mencapai tujuannya, manajemen harus memahami status dari sistem TI perusahaannya dan menentukan jenis kendali dan keamanan yang harus digunakan [1]. Control Objectives for Information and related Technology (COBIT) membantu memenuhi berbagai kebutuhan manajemen dengan menjembatani gap anata resiko bisnis, kebutuhan kendali dan permasalahan teknis. COBIT memberikan panduan melalui sebuah doman dan framework proses serta menyajikan aktivitas dalam sebuah struktur logis dan terkelola. Kaidah penerapan COBIT dibentuk dari konsensus para pakar yang akan membantu dalam mengoptimalkan investasi informasi dan akan memberikan sebuah ukuran ketika terdapat sebuah kesalahan [1]. Manajemen harus memastikan bahwa sebuah sistem kendali internal atau framework dapat mendukung proses bisnis, memperjelas upaya kendali individu dalam memenuhi kebutuhan informasi dan mempengaruhi sumberdaya TI. Pengaruh pada sumberdaya TI dan kebutuhan bisnis terhadap efektivitas, efisiensi, kerahasiaan, integritas, ketersediaan, kesesuaian dan kehandalan informasi yang harus dipenuhi terdapat dalam framework COBIT [1].

3 10 Kendali yang mencakup kebijakan, struktur organisasi, prosedur dan pelaksanaan, merupakan tanggung jawab manajemen. Manajemen harus memastikan bahwa kendali dilaksanakan oleh seluruh pihak yang terlibat dalam pengelolaan, penggunaan, perancangan, pengembangan, perawatan atau pengoperasian sistem informasi. Sebuah tujuan kendali TI merupakan sebuah pernyataan hasil atau tujuan yang diharapkan dapat dicapai dengan menerapkan prosedur kendali dalam sebuah aktivitas TI [1]. II.1.1 Domain Tata Kelola TI Beberapa area permasalahan yang menjadi fokus utama dalam tata kelola TI antara lain adalah [11]: 1. Keselarasan strategis. Penerapan TI harus dapat mendukung pencapaian misi perusahaan; strategi TI harus selaras dengan strategi bisnis perusahaan. 2. Pemberian nilai. Penerapan TI harus dapat memberikan nilai tambah bagi pencapaian misi perusahaan. 3. Manajemen resiko. Penerapan TI harus disertai dengan pengidentifikasian resiko-resiko TI sehingga dampaknya dapat ditangani. 4. Manajemen sumberdaya. Penerapan TI harus didukung dengan sumber daya yang memadai dan penggunaan sumber daya yang optimal. 5. Pengukuran kinerja. Penerapan TI harus diukur dan dievaluasi secara berkala, untuk memastikan bahwa kinerja dan kapasitas TI sesuai dengan kebutuhan bisnis. II.1.2 Standar Tata Kelola TI Dalam menerapkan Tata Kelola TI, diperlukan sebuah model standar tata kelola yang representatif dan menyeluruh, yang mencakup masalah perencanaan, implementasi, operasional dan pengawasan terhadap seluruh proses TI. Penggunaan standar Tata Kelola TI akan memberikan keuntungan-keuntungan sebagai berikut [9] : 1. The Wheel Exists - Penggunaan standar yang sudah ada dan mapan (mature) akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri suatu

4 11 kerangka kerja dengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas. 2. Structured - Standar menyediakan suatu kerangka kerja yang terstruktur yang mudah dipahami dan diikuti manajemen. Kerangka kerja yang terstruktur dengan baik akan memberikan setiap orang pandangan yang relatif sama. 3. Best Practices - Standar telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi diseluruh dunia. Pengalaman yang direfleksikan dalam model-model tata kelola yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu. 4. Knowledge Sharing - Dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku dan media informasi lainnya. 5. Auditable - Tanpa standar baku, akan sulit bagi auditor, terutama auditor dari pihak ketiga untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik manajemen maupun auditor memiliki dasar yang sama dalam melakukan pengelolaan TI dan pengukurannya. Saat ini telah banyak dikembangkan model standar Tata kelola TI. Setiap standar memiliki fokus penekanan yang berbeda-beda serta kelebihan dan kekurangan masing-masing. Beberapa model standar Tata Kelola TI yang banyak digunakan pada saat ini, antara lain: 1. Committee of Sponsoring Organization of the Treadway Commission (COSO) 2. The International Organization for Standardization / The International Electrotechnical Commission (ISO/IEC 17799) 3. The Information Technology Infrastructure Library (ITIL) 4. Control Objectives for Information and Related Technology (COBIT) COBIT merupakan standar yang paling baik dalam hal teknis dan operasional serta kelengkapan proses-proses TI di dalamnya dibandingkan standar-standar lainnya. II.2 Framework COBIT Tujuan utama COBIT adalah memberikan kebijakan yang jelas dan praktek yang baik dalam tata kelola TI dengan membantu manajemen senior memahami dan

5 12 mengelola resiko terkait tata kelola TI dengan cara memberikan kerangka kerja tata kelola TI dan panduan detailed control objective (DCO) bagi pihak manajemen, pemilik proses bisnis, user dan auditor. COBIT mengintegrasikan sejumlah best practices TI dan menyediakan kerangka kerja untuk tata kelola TI yang dapat membantu pemahaman dan pengelolaan risiko serta memperoleh keuntungan terkait dengan TI. Dengan demikian implementasi COBIT sebagai framework tata kelola TI akan dapat memberikan keuntungan (11): 1. Penyelarasan yang lebih baik, berdasarkan pada fokus bisnis. 2. Sebuah pandangan, dapat dipahami oleh manajemen tentang hal yang dilakukan TI. 3. Tanggungjawab dan kepemilikan yang jelas didasarkan pada orientasi proses. 4. Dapat diterima secara umum dengan pihak ketiga dan pembuat aturan 5. Berbagi pemahaman diantara pihak yang berkepentingan, didasarkan pada penggunaan bahasa yang sama. 6. Pemenuhan kebutuhan atau sebagai pelengkap bagi Committee of Sponsoring Organization of the Treadway Commission (COSO) untuk lingkungan kendali TI. Dalam memahami framework COBIT, perlu diketahui mengenai karakteristik utama dimana framework COBIT dibuat, serta prinsip yang mendasarinya. Adapun karakteristik utama framework COBIT adalah fokus pada bisnis (business-focused), orientasi pada proses (process-oriented), berbasis kontrol (controls-based) dan dikendalikan oleh pengukuran (measurement-driven), sedangkan prinsip yang mendasarinya adalah [1] : Untuk menyediakan informasi yang diperlukan organisasi dalam mewujudkan tujuannya, organisasi perlu mengelola dan mengendalikan sumberdaya TI dengan menggunakan sekumpulan proses-proses yang terstruktur untuk memberikan layanan informasi yang diperlukan Framework COBIT terdiri dari 3 level control objectives, dimulai dari level yang paling bawah yaitu activities. Activities merupakan kegiatan rutin yang memiliki konsep siklus hidup. Selanjutnya kumpulan activities dikelompokkan ke dalam

6 13 proses TI, kemudian proses-proses TI yang memiliki permasalahan yang sama dikelompokkan ke dalam domain. Ketiga tingkatan kerangka kerja tersebut ditunjukkan pada Gambar II.1 berikut ini. Gambar II.1 Struktur Kerangka Kerja COBIT [4] Secara keseluruhan konsep kerangka kerja COBIT digambarkan sebagai sebuah kubus tiga dimensi yang terdiri dari: (1) Proses TI, (2) Kriteria Informasi, dan (3) Sumber Daya TI. Kubus COBIT tersebut ditunjukkan pada Gambar II.2 berikut ini. Gambar II.2 Kubus COBIT [4] II.2.1 Proses TI Kerangka kerja COBIT mengidentifikasi 34 proses TI (Gambar II.3) yang dikelompokkan ke dalam 4 domain utama, yaitu domain Planning and

7 14 Organisation (PO), Acquisition and Implementation (AI), Delivery and Support (DS), dan Monitoring (M). Gambar II.3 Proses-proses TI COBIT [5] Setiap domain memiliki karakteristik yang berbeda. Peran dan fungsi dari masingmasing domain adalah sesuai dengan siklus struktur kerangka kerja COBIT. Pada struktur kerangka kerja COBIT tersebut terdapat sumber daya TI yang secara prinsip tersedia dalam jumlah yang terbatas. Untuk menyediakan informasi yang mendukung sasaran dan kebutuhan bisnis, maka penggunaan sumber daya TI perlu diatur dan dilakukan sesuai siklus langkah-langkah yang terbagi ke dalam empat domain tersebut. 1. Planning and Organisation (PO) Domain ini mencakup strategi dan taktik, serta perhatian pada identifikasi cara TI dalam memberikan kontribusi terbaiknya pada pencapaian objektif bisnis. Selanjutnya, realisasi visi strategis perlu direncanakan, dikomunikasikan dan dikelola untuk perspektif yang berbeda. Akhirnya suatu organisasi yang tepat seperti halnya infrastruktur teknologi harus diletakkan sesuai pada tempatnya. 2. Acquisition and Implementation (AI) Solusi TI perlu diidentifikasi, dikembangkan atau diperoleh untuk merealisasikan strategi TI, serta diimplementasikan dan diintegrasikan

8 15 kedalam proses bisnis. Perubahan dan pemeliharaan sistem yang ada dicakup dalam domain ini untuk memastikan solusi berlangsung untuk memenuhi objektif bisnis. 3. Delivery and Support (DS) Domain ini dihubungkan dengan penyampaian sesungguhnya layanan yang diperlukan, yang mencakup penyediaan layanan, manajemen keamanan dan kelangsungan, dukungan layanan pada user, manajemen data dan fasilitas operasional. 4. Monitoring (M) Seluruh kendali-kendali yang diterapkan pada setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam perusahaan, pemeriksaan internal dan eksternal. II.2.2 Kriteria Informasi COBIT mengidentifikasi kebutuhan bisnis perusahaan ke dalam tujuh kriteria informasi yang tercakup dalam aspek quality, fiduciary, dan security, yaitu [10] : 1. Quality requirements a. Effectiveness. Menyangkut kesesuaian antara TI yang diterapkan dengan kebutuhan dari proses bisnis (tepat, konsisten, dan dapat digunakan) b. Efficiency. Menyangkut ketentuan informasi melalui penggunaan sumber daya yang optimal (lebih produktif dan ekonomis). 2. Security requirements a. Confidentiality. Menyangkut perlindungan informasi perusahaan yang sensitif dari akses yang tidak sah. b. Integrity. Berkaitan dengan keakuratan, kelengkapan dan keabsahan informasi terhadap harapan (expectation) dan nilai bisnis. c. Availability. Berkaitan dengan ketersediaan informasi yang diperlukan proses bisnis saat ini dan yang akan datang, juga berhubungan dengan perlindungan sumber daya-sumber daya TI yang penting.

9 16 3. Fiduciary requirements a. Compliance. Menyangkut pemenuhan hukum, peraturan dan kesepakatan kontrak. b. Reliability. Berkaitan dengan ketentuan informasi yang memadai bagi manajemen untuk mendukung pekerjaannya. II.2.3 Sumber Daya TI Kerangka kerja COBIT mendefinisikan sumber daya TI ke dalam 5 kategori, yaitu [10]: 1. Data. Merupakan obyek-obyek yang diartikan dalam pengertian yang luas (internal maupun eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya. 2. Application systems. Meliputi prosedur manual dan aplikasi komputer. 3. Technology. Meliputi perangkat keras, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan sebagainya. 4. Facilities. Semua sumber daya untuk menyimpan dan mendukung sistem informasi. 5. People. Meliputi keahlian staf, kesadaran dan produktifitas untuk merencanakan, mengorganisasikan, memperoleh, menyampaikan, mendukung, mengawasi dan mengevaluasi layanan dan sistem informasi II.2.4 Perbedaan COBIT versi 3.0 dan versi Perbedaan pada tingkatan framework Perbedaan utama pada framework COBIT 4.1 sebagai hasil dari pembaharuan pada COBIT 3.0 antara lain adalah [12] : a. Domain Monitoring (M) berubah menjadi Monitor and Evaluate (ME). b. M3 dan M4 adalah proses audit dan bukan merupakan proses TI. Kedua proses telah dihilangkan karena diasumsikan telah diwakili oleh standarstandar audit TI, namun referensinya tetap dicantumkan di dalam framework yang baru untuk memenuhi kebutuhan manajemen dan penggunaan fungsi penjaminan.

10 17 c. ME3 adalah proses yang terkait dengan pandangan regulasi, yang pada versi sebelumnya diwakili oleh PO8. d. ME4 mencakup proses pandangan tata kelola TI yang terkait dengan tujuan COBIT sebagai framework tata kelola TI. Penempatan proses tersebut pada urutan yang terakhir dimaksudkan untuk mendasari dukungan bahwa setiap proses menyediakan tujuan utama untuk menerapkan tata kelola TI di perusahaan. e. Dengan dihilangkannya PO8 dan kebutuhan untuk menetapkan urutan PO9 (Menilai resiko) dan PO10 (Mengelola proyek) sesuai dengan COBIT versi 3, maka PO8 diubah menjadi proses mengelola kualitas yang sebelumnya dicakup pada proses PO11. Domain PO pada versi 4.1 memiliki 10 proses. f. Domain AI mengalami dua perubahan: penambahan proses pengadaan dan kebutuhan untuk dimasukkannya aspek release management pada proses AI5. Perubahan pada versi terbaru menunjukkan bahwa hal tersebut seharusnya merupakan proses terakhir dalam domain AI sehingga menjadi AI7. Kekosongan pada AI5 digunakan untuk menambahkan proses pengadaan yang baru. Domain AI pada versi 4.1 mengalami penambahan dari 6 proses menjadi 7 proses. g. Pembaharuan yang dilakukan dari COBIT 4.0 ke COBIT 4.1 mencakup: h. Penambahan pada tinjauan eksekutif i. Penjelasan mengenai tujuan dan metrik pada bagian framework j. Penjelasan yang lebih baik mengenai konsep utama. Penjelasan mengenai tujuan kendali mengalami perubahan menjadi pernyataan kaidah manajemen. k. Peningkatan tujuan kendali yang dihasilkan dari praktek kendali yang diperbaharui dan kegiatan pengembangan ValIT. Beberapa tujuan kendali dikelompokkan atau dinyatakan ulang untuk menghindari terjadinya tumpang tindih dan membuat susunan tujuan kendali dalam sebuah proses menjadi lebih konsisten. Perubahan-perubahan tersebut berdampak pada penomoran ulang dari tujuan kendali yang ada. Beberapa tujuan kendali

11 18 dinyatakan kembali untuk mejadikannya lebih berorientasi pada tindakan dan konsistensi pernyataan. Beberapa revisi yang spesifik antara lain: AI5.5 dan AI5.6 digabungkan dengan AI5.4 AI7.9, AI7.10 dan AI7.11 digabungkan dengan AI7.8 ME3 telah direvisi untuk memastikan kesesuaian dengan kebutuhan kontrak sebagai tambahan pada kebutuhan legal dan regulasi l. Kendali aplikasi telah dibuat agar menjadi lebih efektif, berdasarkan pada kegiatan untuk mendukung penilaian dan pelaporan efektifitas kendali. Hal tersebut berdampak pada urutan 6 kendali aplikasi yang menggantikan 18 kendali aplikasi pada COBIT 4.0, dengan penjelasan yang lebih detail pada COBIT Control Practices edisi kedua. m. Urutan tujuan bisnis dan tujuan TI pada Appendix I COBIT telah ditambahkan berdasarkan pandangan baru dari hasil penelitian validasi yang dilakukan oleh University of Antwerp Management School (Belgium). n. Telah dilakukan penambahan untuk menyediakan urutan referensi singkat mengenai proses-proses COBIT, dan revisi pada diagram tinjauan yang menggambarkan domain-domain agar mencakup referensi terhadap elemen kendali aplikasi dan proses pada framework COBIT. o. Peningkatan yang diidentifikasi oleh pengguna COBIT (COBIT 4.0 dan COBIT Online) telah direview dan digabungkan sesuai kebutuhan. 2. Tujuan Kendali Pembaharuan framework COBIT telah merubah tujuan kendali di dalamnya secara signifikan. Komponen-komponen tersebut telah mengalami pengurangan jumlah dari 215 menjadi 210, karena seluruh materi yang bersifat umum hanya ditempatkan pada tingkatan framework dan tidak mengalami pengulangan pada setiap proses. Seluruh referensi bagi kendali aplikasi dipindahkan pada framework dan tujuan kendali spesifik digabungkan dalam pernyataan baru. Untuk lebih memperlihatkan kegiatan transisional yang terkait dengan tujuan kendali, maka perbedaan antara tujuan kendali yang baru dan yang sebelumnya dapat dilihat pada Lampiran A.

12 19 3. Panduan Manajemen Masukan dan keluaran telah ditambahkan untuk mengilustrasikan prosesproses yang saling membutuhkan dan proses-proses yang dilakukan secara spesifik. Kegiatan dan tanggung jawab yang terkait juga telah dicantumkan. Masukan dan pencapaian aktifitas menggantikan Critical Success Factors pada COBIT versi 3.0. Metrik didasarkan pada penambahan tujuan bisnis secara konsisten, pencapaian TI, pencapaian proses dan pencapaian aktifitas. Metrik COBIT versi 3.0 juga telah direview dan diperbaiki agar lebih representatif dan terukur. II.3 Tahapan Penerapan Tata Kelola TI Menggunakan COBIT Terdapat 4 fase penerapan Tata Kelola TI menggunakan COBIT, yaitu fase identify needs (mengidentifikasi kebutuhan), envision solution (meramalkan solusi), plan solution (merencanakan solusi), dan implement solution (menerapkan solusi). Keempat fase tersebut merupakan tahapan yang harus dilalui untuk menerapkan Tata Kelola TI (Gambar II.4). Gambar II.4 Tahapan tata kelola TI [8]. 1. Identify Needs (Mengidentifikasi Kebutuhan) Pada fase ini dilakukan kegiatan-kegiatan penting untuk mengidentifikasi kebutuhan Tata Kelola TI, seperti mengkomunikasikan dan mengkonfirmasi ulang

13 20 kebutuhan, menyaring dan mendefinisikan kebutuhan, hingga memilih model kendali dan proses-proses TI yang diperlukan dalam Tata Kelola TI. Untuk memilih model kendali dan proses-proses TI, diperlukan langkah-langkah sebagai berikut: a. Memahami latar belakang inisiatif Tata Kelola TI dan menyusun tujuan bisnis untuk proyek penerapan Tata Kelola TI, meningkatkan kesadaran (awareness) dan mendefinisikan pengorganisasian proyek dengan tepat. b. Memahami tujuan bisnis dan bagaimana tujuan bisnis harus diterjemahkan ke dalam tujuan TI. c. Memahami resiko potensial dan bagaimana resiko-resiko tersebut dapat mempengaruhi tujuan TI. d. Menentukan lingkup proyek perbaikan dan mengidentifikasi proses-proses TI yang akan diterapkan atau ditingkatkan. 2. Envision Solution (Meramalkan Solusi) Fase kedua dari road map adalah envision solution (meramalkan solusi). Fase ini terdiri dari tiga langkah utama. a. Mendefinisikan dimana status perusahaan saat ini (as-is) dan menilai kemampuan dan kematangan proses-proses pada saat ini. b. Menetapkan target dari tingkat kematangan (to-be) dan kemampuan yang reasonable dan sesuai untuk masing-masing proses TI. c. Menganalisis dan menerjemahkan gap antara as-is dan to-be ke dalam peluang-peluang untuk melakukan peningkatan. 3. Plan Solution (Merencanakan Solusi) Fase ketiga dari road map mengidentifikasi inisiatif-inisiatif peningkatan dan menterjemahkannya ke dalam proyek yang dapat dipertimbangkan untuk memenuhi tujuan bisnis dan mengurangi resiko. Kemudian proyek tersebut diintegrasikan ke dalam suatu strategi peningkatan dan rencana program yang terperinci dan mudah dilaksanakan untuk menjalankan solusi. 4. Implement Solution (Menerapkan Solusi) Pada saat rencana peningkatan dijalankan, pelaksanaan rencana diatur oleh proyek yang dibentuk dan metodologi manajemen perubahan. Kelangsungan

14 21 atas penyampaian hasil bisnis yang diinginkan dijamin oleh umpan balik dan pembelajaran yang diperoleh dengan me-review pasca implementasi, monitoring peningkatan kinerja perusahaan, dan IT balance scorecards. II.4 Model Kematangan Model kematangan (maturity model) digunakan sebagai alat untuk melakukan benchmarking dan self-assessment oleh manajemen TI secara lebih efisien. Proses benchmarking dapat dilakukan secara bertahap terhadap tujuan kendali, dimulai dari proses-proses dan high-level control objectives pada COBIT sehingga dapat diperoleh 3 hal berikut ini [6] : 1. Ukuran relatif terhadap kondisi organisasi saat ini 2. Petunjuk untuk memutuskan arah dan tujuan secara efisien 3. Perangkat untuk mengukur kemajuan terhadap pencapaian Framework COBIT menjelaskan 34 proses TI dalam sebuah lingkungan TI. Pada masing-masing proses terdapat sebuah high-level control statement dan antara 3 hingga 30 tujuan kendali. Tingkat kepatuhan terhadap tujuan kendali yang juga dapat digunakan sebagai alat self-assessment sebaiknya direview secara independen sehingga hasilnya dapat digunakan sebagai perbandingan terhdap industri dan lingkungannya atau sebagai perbandingan terhadap standar dan regulasi internasional yang selalu berevolusi. Metode presentasi dalam bentuk grafik akan memudahkan penggunaan hasil penilaian dalam kegiatan briefing manajemen karena dapat digunakan untuk mendukung business case untuk rencana di masa depan. Pendekatan model kematangan sebagai kendali di seluruh proses-proses TI mencakup pengembangan metode penilaian yang digunakan oleh sebuah organisasi untuk menilai posisinya dari non-existent (0) sampai optimised (5). Pendekatan tersebut didasarkan pada model kematangan yang digunakan oleh Software Engineering Institute untuk menentukan kematangan dalam kemampuan pengembangan software. Skala yang digunakan dalam model kematangan harus didasarkan pada serangkaian kondisi yang dapat dipenuhi secara jelas.

15 22 Manajemen dapat memetakan hal-hal berikut ini terhadap 34 proses-proses TI di dalam COBIT [6] : a. Status organisasi saat ini b. Status industri saat ini sebagai perbandingan c. Status panduan standar internasional saat ini sebagai perbandingan tambahan d. Strategi peningkatan organisasi arahan untuk organisasi di masa depan Skala pengukuran secara diberikan secara bertingkat untuk masing-masing proses TI yang direpresentasikan oleh nilai dari 0 sampai 5. Skala tersebut terkait dengan deskripsi model kematangan kualitatif yang berkisar antara Non-existent sampai Optimised seperti yang ditunjukkan pada Gambar II.5 berikut ini. Gambar II.5 Skala model kematangan [6] Penjelasan dari masing-masing tingkatan kematangan antara lain adalah : 0-Non-Existent. Tidak terdapat proses yang terdokumentasi. Organisasi tidak mengetahui bahwa terdapat permasalahan yang harus diatasi. 1-Initial. Terdapat bukti bahwa organisasi telah mengetahui bahwa terdapat permasalahan yang perlu diatasi, namun tidak ada proses terstandarisasi selain pendekatan ad-hoc yang cenderung diterapkan pada individu atau berdasarkan kasus per kasus. Pendekatan keseluruhan terhadap manajemen tidak terorganisir dengan baik.

16 23 2-Repeatable. Proses telah berkembang hingga tingkatan dimana prosedur sejenis diikuti oleh beberapa orang yang memiliki pekerjaan yang sama. Tidak ada prosedur standar komunikasi atau pelatihan formal dan tanggung jawab diserahkan pada individu. Terdapat tingkat ketergantungan yang tinggi pada pengetahuan individu sehingga seringkali terjadi kesalahan. 3-Defined. Prosedur telah distandarisasi, didokumentasikan, dan dikomunikasikan melalui pelatihan, namun kepatuhan pada proses-proses tersebut bergantung pada individu dan penyimpangan akan terdeteksi. Prosedur yang digunakan cukup sederhana dan merupakan formalisasi dari kebiasaan yang ada. 4-Managed. Terdapat kemungkinan untuk mengukur kesesuaian dengan prosedur dan mengambil tindakan apabila proses tidak berjalan secara efektif. Proses berada pada peningkatan yang konstan dan memberikan petunjuk yang baik. Otomasi dan perangkat tidak digunakan sepenuhnya atau digunakan secara terpisah-pisah. 5-Optimised. Proses telah ditingkatkan hingga ke tingkat best practice berdasarkan hasil peningkatan secara kontinu dan pemodelan kematangan terhadap organisasi lainnya. TI digunakan secara terintegrasi untuk mengotomasi alur kerja, menyediakan metode untuk meningkatkan kualitas dan efektivitas sehingga membuat perusahaan dapat beradaptasi dengan cepat. COBIT merupakan sebuah framework umum yang ditujukan untuk manajemen TI dan skala tersebut harus bersifat praktis untuk diterapkan dan mudah dipahami. Namun topik resiko dan kendali yang sesuai dalam proses manajemen TI bersifat subjektif dan tidak tepat serta tidak memerlukan pendekatan mekanis seperti pada model kematangan untuk rekayasa perangkat lunak. Keuntungan dari model kematangan adalah kemudahan bagi pihak manajemen untuk menempatkan status pada skala yang ditentukan dan memberikan apresiasi pada hal-hal yang diperlukan untuk meningkatkan kinerja. Peningkatan kematangan dan kapabilitas berbanding lurus dengan peningkatan manajemen resiko dan efisiensi. Model kematangan merupakan sebuah cara untuk mengukur perkembangan proses-proses manajemen yang bergantung pada kebutuhan bisnis. Skala

17 24 merupakan contoh untuk proses manajemen yang menunjukkan skema tertentu untuk setiap tingkat kematangan. Skala model kematangan akan membantu para profesional untuk menjelaskan permasalahan yang terjadi pada manajer dan menentukan target untuk membandingkan dengan contoh best practice. Tingkat kematangan yang tepat akan dipengaruhi oleh tujuan bisnis perusahaan dan lingkungan pengoperasian. Tingkat kematangan kendali akan ditentukan oleh tingkat ketergantungan perusahan pada TI, lingkup teknologi dan nilai dari informasi. Model kematangan dibentuk dari model kualitatif generik yang ditambahkan oleh prinsip dan penerapan domain-domain berikut ini secara bertahap : 1. Pemahaman dan kepedulian atas permasalahan kendali dan resiko 2. Pelatihan dan komunikasi yang diterapkan 3. Teknik dan otomasi untuk membuat proses menjadi lebih efektif dan efisien 4. Tingkat kepatuhan terhadap kebijakan internal, hukum dan regulasi 5. Jenis dan tingkat keahlian yang digunakan II.5 Critical Success Factors Critical Success Factors (CSF) berfungsi sebagai panduan bagi manajemen dalam menerapkan kendali untuk TI dan proses-prosesnya. CSF merupakan hal yang paling penting dilakukan serta berkontribusi dalam mencapai tujuan yang akan dicapai oleh proses-proses TI. CSF merupakan aktivitas yang dapat bersifat strategis, teknis, organisasional, proses atau kebiasaan prosedural. CSF umumnya terkait dengan kemampuan dan keahlian serta harus bersifat singkat, terfokus dan berorientasi pada tindakan, serta mempengaruhi sumberdaya yang sangat penting dalam sebuah proses. Model kendali standar pada Gambar II.6 berikut ini mengidentifikasi sejumlah CSF yang umumnya diterapkan untuk keseluruhan proses karena terkait dengan apa yang dimaksud dengan standar, pihak mana yang menyusun, mengontrol atau mengambil tindakan, dan sebagainya. Prinsip-prinsip dari model kendali tersebut antara lain :

18 25 1. Proses yang terdefinisi dan terdokumentasi 2. Kebijakan yang terdefinisi dan terdokumentasi 3. Akuntabilitas yang jelas 4. Dukungan/komitmen yang kuat dari manajemen 5. Komunikasi yang tepat ke pihak internal dan eksternal 6. Pelaksanaan pengukuran secara konsisten Gambar II.6 Model Kendali Standar [6] Prinsip-prinsip kendali juga dibutuhkan pada tingkatan strategis, taktis dan admnistratif. Umumnya terdapat 4 jenis aktivitas pada tiap tingkatan yang saling mengikuti secara berurutan : perencanaan, pelaksanaan, pengecekan dan pengoreksian. Mekanisme feedback dan pergantian kendali antara setiap tingkatan harus dipertimbangkan (Gambar II.7). Misalnya <<pelaksanaan>> pada masukan tingkat strategis <<perencanaan>> pada tingkat taktis, atau <<pengecekan>> pada tingkat administratif dikonsolidasikan pada <<pengecekan>> pada tingkatan taktis dan seterusnya. Gambar II.7 Mekanisme feedback dan pergantian kendali antara setiap tingkatan [6]

19 26 II.6 Pengukuran Kinerja Pencapaian dan metrik didefinisikan dalam COBIT pada tiga tingkatan : 1. Ukuran dan pencapaian TI, yang mendefinisikan apa yang diharapkan bisnis dari TI (mengukur TI dari perspektif bisnis). 2. Pencapaian proses dan ukuran yang mendefinisikan proses apa yang harus diberikan untuk mendukung objektif TI (bagaimana pemilik proses TI akan diukur). 3. Ukuran kinerja proses (untuk mengukur seberapa baik proses dilakukan untuk menunjukkan jika pencapaian kemungkinan besar terpenuhi). COBIT menggunakan 2 jenis ukuran yaitu indikator pencapaian dan indikator kinerja. Indikator pencapaian pada tingkat yang lebih rendah menjadi indikator kinerja pada tingkatan yang lebih tinggi. Key Goal Indicators (KGI) mendefinisikan pengukuran yang menginformasikan kepada manajemen setelah terjadinya fakta apabila suatu proses TI telah mencapai kebutuhan bisnisnya, biasanya dinyatakan berkaitan dengan kriteria informasi berikut ini: 1. Ketersediaan informasi yang diperlukan untuk mendukung kebutuhan bisnis. 2. Tidak adanya integritas dan resiko kerahasiaan. 3. Efisiensi biaya proses dan operasi. 4. Konfirmasi kehandalan, efektivitas dan kepatuhan. Key Performance Indicators (KPI) mendefinisikan pengukuran yang menentukan seberapa baik proses-proses TI dilakukan. Hal ini mengindikasikan kemungkinan terpenuhinya pencapaian. KPI disamping merupakan indikator terpenuhinya pencapaian dan juga merupakan indikator kapabilitas, praktek dan keahlian yang baik. KPI mengukur pencapaian aktivitas yang merupakan tindakan yang harus diambil pemilik proses untuk mencapai proses yang efektif.