UNIVERSITAS INDONESIA EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS PT BURSA EFEK INDONESIA KARYA AKHIR

UNIVERSITAS INDONESIA EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS PT BURSA EFEK INDONESIA KARYA AKHIR HUSNUL HIDAYAT 1106121780 FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

UNIVERSITAS INDONESIA EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATA KELOLA TEKNOLOGI INFORMASI: STUDI KASUS PT BURSA EFEK INDONESIA KARYA AKHIR Diajukan sebagai salah satu syarat untuk memperoleh gelar Magister Teknologi Informasi HUSNUL HIDAYAT 1106121780 FAKULTAS ILMU KOMPUTER PROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI JAKARTA JANUARI 2013

KATA PENGANTAR Tak ada kata yang terucap selain Syukur Alhamdulillah atas segala petunjuk, pertolongan, kemudahan, kasih sayang, dan ridho Allah SWT, sehingga penulis dapat menyelesaikan laporan tugas akhir dengan judul Evaluasi dan Analisis Tingkat Kemapanan Tata Kelola Teknologi Informasi. Studi Kasus PT Bursa Efek Indonesia, yang merupakan salah satu syarat kelulusan pada Program Studi Sistem Informasi, Fakutas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya. Tugas Akhir ini takkan pernah terwujud tanpa dukungan, saran, dan bantuan dari berbagai pihak. Pada kesempatan ini penulis menyampaikan ucapan terima kasih kepada semua pihak yang telah membantu penulis baik dalam pelaksanaan tugas akhir hingga selesainya penyusunan laporan tugas akhir ini. Ucapan terima kasih penulis sampaikan kepada: Bapak Budi Yuwono dan Bapak Alex Ferdinansyah, selaku dosen pembimbing penulis atas segala ketulusan dalam membimbing, membagi ilmu, juga motivasi dan semangat selama perkuliahan dan proses mengerjakan tugas akhir. Bapak Yudho Giri Sucahyo, Ph.D dan Dr. Eko. K Budiarjo selaku dosen penguji yang telah memberikan kritik dan saran yang membangun untuk membuat karya akhir ini menjadi lebih baik Bapak Direktur TMR dan rekan-rekan Divisi SDM yang telah memberikan beasiswa selama saya menempuh kuliah S2 di MTI UI. Bapak M Fadlol Basori (alm) dan Ibu Mufidah, atas segala kasih sayang, doa yang tiada henti, kepercayaan dan dukungan penuh yang selalu dapat memberi motivasi. Semoga Husnul selalu dapat melakukan yang terbaik untuk Bapak & Ibu. Amin. Istri ku yang tercinta Afin Tri Pamungkas, atas pengertian, kasih saying, doa, dan dukungan penuh yang selalu dapat memberi motivasi. Semoga setelah berakhirnya kuliah ini akan bertambah waktu luangku untuk bersama keluarga kecil kita. iv

Bapak Mertua dan Ibu Mertua, Cak Punk, Mbak Lina, Cak Basit, Mbak Yanti, Ponakan-ponakan ku (Ama, Rizqi, Fela, Bintang, Tristan dan Fadhil) serta seluruh keluarga besar yang selalu memberikan dukungan dan semangat. Atasan dan rekan-rekan kerja di kantor, Bapak Abdul Munim, Bapak Budhi, Bapak Isman, Bapak Inang, Bapak Bhayu, Mas Rakhman, Mbak Henny dan teman-teman yang lain, terima kasih atas dukungannya dan bersedia mendengar keluh kesah mengenai mengenai membagi waktu antara pekerjaan, kuliah dan keluarga. Buat teman-teman kelas SCMTI 2011-2012, terutama buat Sonya dan Harry yang hamper selalu jadi temen sekelompok, terima kasih atas segala pertemanan & persahabatan selama ini dan semoga tidak akan berhenti sampai kapan pun. Semoga selalu sukses y. Semoga kebaikan yang telah diberikan dibalas oleh Allah SWT. Akhirnya penulis menyadari masih banyak kekurangan dalam Tugas Akhir ini. Untuk itu penulis mengharapkan adanya kritik dan saran yang dapat menyempurnakan Tugas Akhir ini. Harapan penulis, semoga Tugas Akhir ini dapat bermanfaat bagi pembaca. Jakarta, Januari 2013 Penulis v

2 ABSTRAK Nama : Husnul Hidayat Program Studi : Magister Teknologi Informasi Judul : Evaluasi dan Analisis Tingkat Kemapanan Tata Kelola Teknologi Informasi: Studi Kasus PT Bursa Efek Indonesia Teknologi informasi (TI) diyakini sebagai pendukung utama dalam perkembangan pasar modal, untuk itu dibutuhkan adanya pengelolaan TI yang baik yang dilandasi dengan adanya tata kelola yang mengacu kepada standard dan best practice IT governance. Penelitian ini mencoba memberikan evaluasi, rekomendasi dan program jangka pendek yang dapat dilakukan untuk meningkatkan tingkat kemapanan tata kelola di PT Bursa Efek Indonesia (BEI). Hal ini dilakukan untuk meminimalkan downtime dan meningkatkan layanan kepada pelanggan agar kepuasan dan kepercayaan dari pelanggan terus terjaga sehingga pada akhirnya diharapkan volume perdagangan dapat terus meningkat. Pada penelitian ini evaluasi tingkat kemapanan tata kelola dilakukan berdasarkan framework Cobit 4.1, setelah dilakukan evaluasi akan disusun rekomendasi perbaikannya serta disusun program jangka pendek untuk meningkatkan tingkat kemapanan sesuai harapan PT BEI. Pada penelitian ini juga memanfaatkan metode IT risk management untuk mengetahui tingkat risiko yang dapat ditimbulkan jika rekomendasi perbaikan tidak dilakukan. Berdasarkan hasil evaluasi dapat diketahui jika perusahaan direkomendasikan untuk melakukan perbaikan prosedur dan pengembangan aplikasi untuk meningkatkan awareness dan efektifitas operasional. Kata Kunci: Tata kelola, Cobit 4.1, Tingkat kemapanan, IT Risk Management vii

3 ABSTRACT Nama : Husnul Hidayat Program Studi : Master of Information Technology Judul : Evaluation and Analysis of Maturity Level Information Technology Governance. Case Study: Indonesia Stock Exchange Information technology (IT) is believed to be a mojor driver for capital market, it is necessary to have good IT management which based on it governance that can comply to IT governance standards and best practice. This research was trying to evaluate, give recommendation and short-term program to improve the maturity level of IT governance in Indonesia Stock Exchange (IDX). The purpose is to minimize downtime and to improve customer satisfaction and maintain their belief and finally the volume of trading will increase. In this research, the evaluation of maturity level is based on framework COBIT 4.1, after the evaluation will be given recommendations for improvement and create short-term program to improve the maturity level as expected by PT IDX. In this research also utilizes IT risk management methods to determine the level of risk that may appear if the recommendations are not implemented. Based on the evaluation results could be known that the company was recommended to improve the procedures and develop application to increase awareness and operational effectiveness. Keywords: IT governance, Cobit 4.1, Maturity level, IT Risk Management viii

4 DAFTAR ISI HALAMAN PERNYATAAN ORISINALITAS... ii HALAMAN PENGESAHAN... iii KATA PENGANTAR... iv PERNYATAAN PERSETUJUAN PUBLIKASI KARYA ILMIAH UNTUK KEPENTINGAN AKADEMIS... vi ABSTRAK...vii ABSTRACT...viii DAFTAR ISI...ix DAFTAR GAMBAR...xii DAFTAR TABEL...xiii BAB I PENDAHULUAN... 1 1.1 Latar Belakang...1 1.2 Perumusan Masalah...5 1.3 Tujuan Penelitian...9 1.4 Manfaat Penelitian...9 1.5 Ruang Lingkup Penelitian...10 BAB II LANDASAN TEORI... 11 2.1 Tata Kelola Teknologi Informasi...11 2.2 Cobit versi 4.1...14 2.3 Cobit Maturity Model...17 2.4 ITIL versi 3...24 2.5 Manajemen Risiko...27 2.6 Framework NIST...28 BAB III METODOLOGI PENELITIAN... 33 3.1 Metodologi...33 3.2 Framework Penelitian...36 BAB IV PROFIL PERUSAHAAN... 37 4.1 Tata Kelola Organisasi...40 4.2 Struktur Organisasi...42 ix

BAB V ANALISIS DAN PEMBAHASAN... 45 5.1 Metode untuk Assessment Penerapan Tata Kelola TI...45 5.2 Pengukuran Kemapanan Tata Kelola...52 5.2.1 DS1 Define and Manage Service Level...56 5.2.2 DS2 Manage Third Party Services...59 5.2.3 DS3 Manage Performance and Capacity...63 5.2.4 DS4 Ensure Continuous Service...66 5.2.5 DS5 Ensure System Security...70 5.2.6 DS6 Identify and Allocate Cost...73 5.2.7 DS7 Educate and Train Users...75 5.2.8 DS8 Manage Service desk and Incidents...78 5.2.9 DS9 Manage Configuration...81 5.2.10 DS10 Manage Problem...84 5.2.11 DS11 Manage Data...87 5.2.12 DS12 Manage The Physical Environment...90 5.2.13 DS13 Manage Operations...93 5.2.14 Nilai Kemapanan untuk domain DS...97 5.3 Rekomendasi Perbaikan...98 5.4 Risk Assessment untuk Menentukan Prioritas Rekomendasi...103 5.5 Validasi Rekomendasi...107 5.6 Pembuatan Program...113 BAB VI KESIMPULAN DAN SARAN... 117 6.1 Kesimpulan...117 6.2 Saran...119 Referensi... 121 Lampiran 1 Wawancara... 123 Lampiran 2 Penyesuaian SOP Pemeliharaan Sistem... 129 Lampiran 3 Penyesuaian SOP Capacity Management... 137 Lampiran 4 Penyesuaian SOP Incident Management... 138 Lampiran 5 Tingkat Saverity Incident... 142 Lampiran 6 Penyesuaian SOP Backup Rutin... 143 x

Lampiran 7 Penyesuaian Form Backup Rutin... 145 xi

5 DAFTAR GAMBAR Gambar 1.1 Remote Trading...2 Gambar 1.2 IT Strategic Impact Grid (APPLEGATE, 2009)...3 Gambar 1.3 Maturity Level Cobit pada tahun 2010 dan tahun 2011...5 Gambar 1.4 Fishbone diagram penyebab adanya gap tingkat kemapanan...8 Gambar 2.1 Fokus Utama IT Governance...13 Gambar 2.2 Kerangka kerja COBIT 4.1...17 Gambar 2.3 Matury Model Cobit...18 Gambar 2.4 Kerangka kerja ITIL versi 3...27 Gambar 2.5 Framework Risk manajemen NIST 800-30...28 Gambar 3.1 Tahapan Penelitian...33 Gambar 3.2 Framework penelitian...36 Gambar 4.1 Struktur Organisasi BEI...42 Gambar 4.2 Struktur Direktorat TMR...43 xii

6 DAFTAR TABEL Tabel 1.1 Maturity Level Proses pada Domain DS pada Tahun 2011...6 Tabel 2.1 Unsur-Unsur Tata Kelola TI...12 Tabel 2.2 Maturity Attribute...21 Tabel 2.3 Template Risk Assessment...32 Tabel 4.1 Sejarah Perkembangan BEI...37 Tabel 5.1 Analisis SOP Divisi Operasi TI...46 Tabel 5.2 Maturity Attribute...46 Tabel 5.3 Assessment Maturity Level DS1 define and manage service level...56 Tabel 5.4 Assessment Maturity Level DS2 Manage Third Party Services...60 Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity...63 Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service...67 Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security...70 Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost...73 Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users...76 Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents...79 Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration...82 Tabel 5.12 Assessment Maturity Level DS10 Manage Problem...85 Tabel 5.13 Assessment Maturity Level DS11 Manage Data...88 Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment...91 Tabel 5.15 Assessment Maturity Level DS13 Manage Operations...94 Tabel 5.16 nilai maturity level pada domain DS...97 Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute...98 Tabel 5.18 Rekapan Rekomendasi...102 Tabel 5.19. Klasifikasi Dampak Manajemen Risiko BEI...103 Tabel 5.20. Klasifikasi likelihood Manajemen Risiko BEI...104 Tabel 5.21 Risk Matrix...104 Tabel 5.22 Risk Assessment...104 Tabel 5.23 Validasi Hasil Rekomendasi...108 Tabel 5.24 Supplier Management...113 Tabel 5.25 Capacity Management...114 Tabel 5.26 Incident Management...114 Tabel 6.1 Usulan Rekomendasi...117 Tabel 9.1. Sistem score...132 Tabel 9.2. Kategori hasil evaluasi...132 xiii

1 BAB I PENDAHULUAN 1.1 Latar Belakang Dalam beberapa tahun terakhir industri pasar modal semakin berkembang, perkembangan industri pasar modal ini dapat dilihat dari volume perdagangan yang semakin meningkat. Hal ini tentunya menuntut adanya layanan yang semakin baik terutama dari PT Bursa Efek Indonesia (BEI) selaku fasilitator perdagangan saham dan surat utang. Guna menunjang kegiatan perdagangan dengan volume perdagangan yang tinggi ini, terutama pada saat awal sesi perdagangan dan pada akhir sesi perdagangan, diperlukan adanya fasilitas perdagangan yang andal. Hal ini mutlak dibutuhkan karena selain volume perdagangan yang semakin meningkat, perdagangan saham juga harus dilakukan secara real time. Dalam menyediakan fasilitas perdagangan yang andal tentunya dibutuhkan adanya peranan teknologi informasi (TI) yang baik. Pada saat ini kegiatan perdagangan sangat tergantung pada ketersediaan TI dalam operasional dan pengembangannya, hal ini dikarenakan pada saat ini semua kegiatan perdagangan dibantu oleh sistem perdagangan yang dinamakan Jakarta Automated Trading System (JATS). Pada sistem JATS menyediakan fasilitas bagi investor untuk melakukan perdagangan dari jarak jauh (remote trading) sehingga investor tidak perlu lagi datang ke lantai bursa (floor trading) untuk membeli atau menjual saham seperti jaman dahulu, tetapi saat ini investor bisa melakukan kegiatan jual beli saham dari kantor Anggota Bursa (broker). 1

2 Gambar 1.1 Remote Trading Mengingat begitu vitalnya peranan TI di PT BEI maka sistem TI yang terdapat di PT BEI harus mempunyai ketahanan yang baik (realible), kapasitas yang besar dan dan performa yang tinggi karena perdagangan dilakukan secara real time. Sistem TI yang ada dituntut untuk mempunyai availability yang tinggi sehingga kegiatan perdagangan dapat terus berlangsung. Adanya down time sistem TI walaupun hanya sebentar akan menimbulkan kerugian yang besar bagi pelaku bisnis di pasar modal. Untuk mewujudkan ketersediaan yang tinggi, tentunya sistem TI tersebut harus didukung dengan adanya adanya infrastruktur yang realible, aplikasi TI yang handal, personil TI yang memadai dan adanya tata kelola TI yang baik guna memberikan arahan dalam mengelola operasional dan pengembangan TI. Jika merujuk pada matrik Richard Nolan dan F. Warren McFarlan yang dapat dilihat dalam buku Corporate Information Strategy and Management (linda applegate, 2009), peran TI di PT BEI pada saat ini sudah dapat diketegorisasikan dalam factory mode. Hal ini tentunya berbeda dengan kondisi

3 pada akhir tahun 1990-an, dimana peranan TI masih sebagai support yang berfungsi mendukung kegiatan perkantoran saja, sedangkan kegiatan perdagangan masih dilakukan secara manual. Gambar 1..2 IT Strategic Impact Grid (APPLEGATE, 2009) Semakin meningkatnya peranan TI telah disadari oleh management PT BEI, oleh karena itu sejak tahun 2007 pimpinan tertinggi TI adalah sorang direktur, sejajar dengann pimpinan core bisnis di PT BEI. TI berada dibawah Direktur Teknologi Informasi dan Manajemen Risiko (TMR), yang dijabat oleh Bapak Adikin Basirun. Direktorat TMR terdiri dari 3 Divisi, yaitu: Divisi Operasi Teknologi Informasi, Divisi Pengembangan Teknologi Informasi dan Divisi Manajemen Risiko. Berikut ini akan dijabarkan secara singkat mengenai tugas dan fungsi dari ketiga Divisii tersebut. 1. Divisi Operasi Teknologi Informasi (OTI) Mempunyai tugas untuk menjalankan operasional TI dan menjaga ketersediaan sistem TI. 2. Divisi Pengembangan Teknologi Informasi (PTI) Mempunyai tugas untuk melakukan pengembangan sistem TI dan manajemen proyek. 3. Divisi Manajemen Risiko (MRI) Universitas Indonesia

4 Mempunyai tugas untuk menyusun profil risiko TI, monitoring risiko dan pengembangan tata kelola TI. Sejalan dengan visi dan misi perusahaan untuk menerapkan good governance, pada direktorat TMR juga telah menerapkan IT Governance untuk menjaga keselarasan antara tujuan TI dengan tujuan bisnis menjaga kualitas pelayanan yang diberikan kepada core bisnis. Tata kelola yang diterapkan untuk operasional di direktorat TMR telah coba untuk mengadopsi best practice yang terdapat pada Information Technology Infrastructure Library (ITIL) versi 3 dan Control Objectif for Information and Related Technology (Cobit) versi 4.1. Beberapa prosedur yang telah diterapkan adalah: 1. Request Management 2. Incident Management 3. Problem Management 4. Change Management 5. Release Management 6. Configuration Management 7. Capacity Management 8. Pemeliharaan Perangkat Adanya tata kelola TI yang baik sangat dibutuhkan oleh PT BEI dalam menyediakan fasilitas perdagangan dan menjaga availability sistem selama proses perdagangan berlangsung. Oleh karena itu, PT BEI pada berusaha untuk melakukan penyempurnaan tata kelola dan secara rutin melakukan assessment guna mengatahui tingkat tata kelola yang ada pada saat ini. Hal ini dilakukan untuk meminimalkan downtime dan meningkatkan layanan kepada pelanggan agar kepuasan dan kepercayaan dari pelanggan terus terjaga sehingga pada akhirnya diharapkan volume perdagangan dapat terus meningkat.

5 GAMBAR 1.3 Maturity Level Cobit pada tahun 2010 dan tahun 2011 1.2 Perumusan Masalah Pada tahun 2013, pihak management dari PT BEI telah mencanangkan target untuk meningkatkan tingkat kemapanan (maturity level) tata kelola berdasarkan framework Cobit, terutama untuk domain Delivery dan Service (DS). Pada domain tersebut diharapkan 75% dari 13 proses kerja yang tersedia mempunyai tingkat kemapanan dengan nilai 4. Peningkatan tingkat kemapanan lebih diutamakan pada domain DS karena: 1. Pada saat ini semua kegiatan perdagangan saham sudah dilakukan dengan bantuan TI sehingga peranan TI sangat kritikal. 2. Peranan TI di PT BEI telah berada pada ketegorisasi factory mode berdasarkan strategic impact grid (linda applegate, 2009). Oleh karena itu dituntut adanya sistem TI yang availability yang tinggi dan performa yang baik. 3. Adanya downtime dapat menyebabkan kerugian yang besar bagi perusahaan pada khususnya dan industri pasar modal pada umumnya.

6 4. Service level agreement (SLA) yang dijanjikan kepada stakeholder mencapai 99.75%. 5. Adanya gangguan pada sistem perdagangan pada akhir bulan Agustus 2012. 6. Dibutuhkan adanya suatu tata kelola yang baik untuk mengelola operasional TI sehingga dapat memenuhi kebutuhan bisnis. Sedangkan untuk domain yang lain yaitu domain Plan and Organise (PO), domain Acquire and Implement (AI) dan domain Monitor and evaluate (ME), akan ditingkatkan kemapanannya setelah domain DS. Selanjutnya akan disampaikan data mengenai tinggkat kemapanan tata kelola DI PT BEI berdasarkan hasil assessment yang telah dilakukan oleh salah satu konsultan untuk 13 proses kerja pada domain DS pada tahun 2011. Data secara lengkap dapat dilihat pada tabel 1.1. Tabel 1.1 Maturity Level Proses pada Domain DS pada Tahun 2011 Maturity level No Proses kerja 2011 1 DS1-Define and manage service levels. 3.83 2 DS2-Manage third-party services. 3.17 3 DS3-Manage performance and capacity. 3.33 4 DS4-Ensure continuous service. 3.5 5 DS5-Ensure systems security. 3.17 6 DS6-Identify and allocate costs. 3.67 7 DS7-Educate and train users. 3 8 DS8-Manage service desk and incidents. 3.83 9 DS9-Manage the configuration. 3.17 10 DS10-Manage problems. 3.17 11 DS11-Manage data. 3.17 12 DS12-Manage the physical environment. 3.33 13 DS13-Manage operations. 3.67

7 Jika dilihat pada tabel diatas, dapat dilihat gap antara tingkat kemapanan untuk 13 proses kerja pada domain DS di tahun 2011 dengan tingkat kemapanan yang ditargetkan oleh pihak management pada tahun 2013. Berdasarkan analisis yang dilakukan dalam keseharian di Divisi OTI dan PTI, dapat diketahui bahwa adanya gap tingkat kemapanan disebabkan oleh berapa hal, antara lain: belum dilakukannya evaluasi rutin pelaksanaan prosedur operasional, kurangnya sosialisasi kebutuhan pelatihan untuk peningkatan pengetahuan. Detail perkiraan penyebab adanya gap tingkat kemapanan dapat dilihat pada fishbone diagram berikut ini:

8 Awareness and Communication Prosedur Kurangya sosialisasi dan awareness Adanya prosedur yang kurang lengkap Adanya prosedur yang belum disertai goal dan measurement Belum dilakukannya evaluasi rutin Masih kurangnya skill dan ekspertise yang dimiliki Kurangnya training Kurangnya pengalaman Belum tersedianya user guide Adanya gap tingkat kematangan eksisting dengan target tingkat kematangan dari Management Belum semua aktivitas TI di dukung oleh aplikasi Personil TI Tools and Automation Gambar 1.4 Fishbone diagram penyebab adanya gap tingkat kemapanan Berdasarkan fishbone diagram di atas, dapat diketehui hal-hal yang jadi penyebab adanya gap tingkat kemapanan. Untuk itu pada tugas akhir ini akan dicoba memberikan rekomendasi perbaikan sehingga tingkat kemapanan tata kelola dapat mencapai nilai tingkap kemapanan yang diinginkan oleh pihak management. Sesuai dengan penjelasan yang telah disampaikan pada bagian latar belakang, dapat diketahui bahwa masih terdapat beberapa hal yang dapat disempurnakan sehingga tingkat kemapanan tata kelola dapat mencapai nilai yang diinginkan oleh pihak management. Oleh karena itu pada penelitian ini akan diangkat permasalahan mengenai Sejauh mana tingkat kemapanan tata kelola TI untuk domain DS pada PT BEI menurut cobit 4.1 dan bagaimana langkah-langkah

9 yang applicable (selanjutnya akan disebut sebagai program ) untuk mencapai tingkat kemapanan yang dijadikan target oleh PT BEI untuk meningkatkan pelayanan kepada pelanggan sehingga dapat memberkan service level yang baik? 1.3 Tujuan Penelitian Tujuan yang ingin dicapai dalam penelitian ini adalah: 1. Mengetahui sejauh mana tingkat kemapanan tata kelola TI pada domain DS pada PT BEI. 2. Mengidentifikasi prosedur yang perlu disempurnakan mengacu pada tingkat kemapanan Cobit dan ITIL versi 3. 3. Memberikan rekomendasi perbaikan yang bisa dilakukan untuk memingkatkan tingkat kemapanan mencapai level 4 untuk 75% proses pada domain DS. 4. Membuat program jangka waktu pendek berdasarkan rekomendasi perbaikan pada point 3. Program yang dibuat akan disesuaikan dengan jangka waktu pengerjaannya. 1.4 Manfaat Penelitian Manfaat yang akan didapatkkan dari penelitian ini adalah: 1. Manfaat akademis: dengan penelitian ini, diharapkkan akan menjadi referensi dalam melakukan pengukuran dan peningkatan tingkat kemapanan tata kelola TI pada suatu perusahaan financial khususnya Pasar Modal. 2. Manfaat Praktis: hasil penelitian ini diharapkan dapat memberikan sumbangan pemikiran bagi management untuk mengetahui sejauh mana tingkat kemapanan eksisting dan mengetahui program yang dapat dilakukan untuk mencapai tingkat kemapanan yang diharapkan oleh PT BEI.

10 1.5 Ruang Lingkup Penelitian Ruang lingkup dalam penelitian ini adalah sebagai berikut: 1. Penelitian ini dilakukan pada untuk mengetahui sejauh mana tingkat kemapanan tata kelola TI pada domain DS di PT BEI. Data yang dikumpulkan diperoleh dari data kualitatif, data kuantitatif, mempelajari laporan bulanan, observasi dan wawancara dengan pihakpihak yang terkait dengan pembuatan dan pengelolaan prosedur. Penelitian ini akan mengukur tingkat kemapanan menggunakan framework Cobit versi 4.1 2. Pada penelitian ini, perbaikan prosedur akan disesuaikan dengan framework Cobit versi 4.1 dan standard ITIL versi 3 3. Pada penelitian ini akan dicoba menerapkan program yang dapat diimplementasi dalam jangka pendek (kurang lebih 2 bulan). Program ini diharapkan dapat meningkatkan tingkat kemapanan yang ada pada saat ini sehingga mencapai target PT BEI yaitu nilai 4 untuk 75% proses yang terdapat di domain DS. 4. Penilaian tingkat kemapanan yang dilakukan berdasarkan nilai maturity attribute cobit. Dalam hal ini bobot untuk setiap attribute dianggap setara. Rekomendasi akan disusun sehingga nilai pada setiap attribute mencapai nilai 4.

2 BAB II LANDASAN TEORI 2.1 Tata Kelola Teknologi Informasi Terdapat beberapa definisi mengenai Tata kelola teknologi informasi, menurut Information Technology Governance Institute (ITGI, 2007), Tata Kelola TI adalah tanggung jawab dari board of Directors (BOD) dan eksekutif management. Tata Kelola TI merupakan bagian dari tata kelola perusahaan dan terdiri dari kepemimpinan, struktur organisasi dan proses yang memastikan bahwa organisasi TI mendukung dan memperluas strategi organisasi dan tujuan organisasi. Sedangkan menurut Van Grembergen (Van Grembergen, 2004), definisi tata kelola TI adalah IT Governance is the organizational capacity exercised by the Board,Executive management and IT management to control the formulaton and implementation of IT strategy and in this way ensure the fusion of business and IT. Sedangkan menurut Petersen (Petersen, 2001), IT Governance is the system by which an organization s IT portfolio is directed and controlled. IT Governance describes the distribution of IT decision making rights and responsabilities among different stakeholders in the organization, and the rules and procedures for making and montoring decisions on strategic IT resources. Sedangkan menurut Weill & Ross (Weill & Ross, 2004), definisi tata kelola TI adalah Specifying the decision right and accountability framework to encourage desireable beavior in the use of IT. Sedangkan menurut Luftman (Luftman, 1993), IT Governance is the degree to which the authority for making IT decisions is defined, and shared among management, and the process managers in both IT and business organizations apply in setting IT priorities and allocation of IT resources. 11

12 Berdasarkan definisi-definisi yang telah disebutkan di atas, dapat dilihat bahwa terdapat beberapa persamaan unsur pada tata kelola IT. Tabel 2.1 Unsur-Unsur Tata Kelola TI ITGI Van Grembergen Petersen Weill & Ross Luftman Leadership Decision making structure Process Resource management IT use for organization objective Mengacu pada tabel 2.1, menunjukkan bahwa tata kelola TI merupakan bagian penting dari tanggung jawab BoD dan eksekutif management. Selain itu tata kelola TI merupakan bagian yang dari tata kelola perusahaan (corporate governance) serta mensyaratkan adanya kepemimpinan, struktur organisasi dan proses yang memastikan bahwa organisasi TI mendukung dan memperluas strategi organisasi serta tujuan organisasi. Sejalan dengan definisi di atas, menurut ITGI terdapat lima fokus utama pada tata kelola TI yang seluruhnya didorong oleh Stakeholder Value. Tiga focus ang pertama merupakan faktor pendorong yaitu strategic alignment, resource management dan performance measurement. Sedangkan 2 fokus yang lain adalah hasil yang diinginkan yaitu value delivery dan risk management.

13 Gambar 2.1 Fokus Utama IT Governance Penjelasan untuk masing-masing fokus akan dibahas secara lebih detail pada bagian dibawah ini: 1. Strategic Alignment bertujuan untuk memastikan hubungan rencana bisnis dan Ti dan menselaraskan operasi TI dengan operasi perusahaan. Hal ini dapat dicapai jika TI dapat memberikan added value pada produk dan services, memberikan alternative-alternatif solusi dalam persaingan bisnis, efisiensi biaya operasional, meningkatkan kecepatan distribusi informasi. Keselarasan yang inigin dibangun dimulai dari keselarasan arsitektur TI dengan visi dan misi perusahaan sampai dengan keselerasan operasional TI dengan operasional bisnis. 2. Value Delivery mempunyai fokus pada aktivitas yang memberikan nilai kepada bisnis dan memastikan bahwa investasi TI yang telah dilakukan dapat memberikan keuntungan kepada perusahaan baik secara langsung maupun tidak langsung serta berkonsentrasi pada optimalisasi biaya yang dikeluarkan perusahaan untuk operasional. 3. Risk Management mempuyai fokus pada peningkatan kesadaran dan pemahaman risiko, identifikasi risiko dan menanamkan tanggung jawab manjemen risiko ke dalam organisasi. Hal ini dimaksudkan untuk menamkan kesadaran kepada senior management mengenai adanya risiko yang harus dihadapi, risiko-risiko tersebut harus diidentifikasi, melakukan mitigasi risiko tersebut, apakah risiko tersebut akan di accept dan dicarikan alternatif solusi,

14 apakah di ignore karena dirasa tidak terlalu penting ataukah di transfer kepada pihak lain untuk mengatasi risiko tersebut. Selain itu, risiko-risiko tersebut harus selalu di monitoring dan di lakukan evaluasi berkala secara rutin. 4. Resource Management berfokus pada pemilihan investasi yang optimal dan mengelola sumber daya TI (Sumber daya manusia, aplikasi, infrastruktur dan informasi) dengan tepat. Isu utama dalam pengelolaan sumber daya adalah peningkatan pengetahuan sumber daya manusia (knowledge) dan penyediaan infrastruktur. 5. Performance Measurement mempunyai fokus pada tracking dan monitoring implementasi dari strategi yang telah direncakan, penyelesaian proyek, penggunaan sumber daya TI, dan kinerja layanan TI secara keseluruhan. 2.2 Cobit versi 4.1 COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalahmasalah teknis (Sasongko, 2009). COBIT mendukung tata kelola TI dengan menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis, memaksimalkan keuntungan, risiko IT dikelola secara tepat, dan sumber daya TI digunakan secara bertanggung jawab (Tanuwijaya, 2010). Pada kerangka kerja Cobit versi 4.1 (ITGI, 2007) dibagi menjadi 4 domain dan dari 4 domain tersebut akan dibagi menjadi 34 proses kerja. Berikut ini akan dijelaskan mengenai 4 domain pada Cobit dan disebutkan 34 proses kerja yang ada 4 domain tersebut. 1. Plan and Organise (PO), pada domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan, mencakup masalah strategi, taktik dan identifikasi cara terbaik IT untuk memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi. Proses kerja yang terdapat pada domain PO adalah:

15 a. PO1 Define a strategic IT plan. b. PO2 Define the information architecture. c. PO3 Determine technological direction. d. PO4 Define the IT processes, organisation and relationships. e. PO5 Manage the IT investment. f. PO6 Communicate management aims and direction. g. PO7 Manage IT human resources h. PO8 Manage quality. i. PO9 Asses and manage IT risks. j. PO10 Manage Projects. 2. Acquire and Implement (AI), Pada domain ini berkaitan dengan implementasi solusi IT dan integrasinya dalam proses bisnis organisasi, juga meliputi perubahan dan perawatan yang dibutuhkan sistem yang sedang berjalan untuk memastikan daur hidup sistem tersebut tetap terjaga. Proses kerja yang terdapat pada domain AI adalah: a. AI1 Identity automated solutions. b. AI2 Acquire and maintain application software. c. AI3 Acquire and maintain technology infrastructure. d. AI4 Enable operation and use. e. AI5 Procure IT resources. f. AI6 Manage changes. g. AI7 Install and accredit solutions and changes. 3. Deliver and Support (DS), pada domain ini mencakup proses pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan, pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data yang sedang berjalan. Proses kerja yang terdapat pada domain DS adalah: a. DS1 Define and manage service levels.

16 b. DS2 Manage third-party services. c. DS3 Manage performance and capacity. d. DS4 Ensure continuous service. e. DS5 Ensure systems security. f. DS6 Identify and allocate costs. g. DS7 Educate and train users. h. DS8 Manage service desk and incidents. i. DS9 Manage the configuration. j. DS10 Manage problems. k. DS11 Manage data. l. DS12 Manage the physical environment. m. DS13 Manage operations. 4. Monitor and Evaluate (ME), pada domain ini berfokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern dan ekstern dan jaminan independent dari proses pemeriksaan yang dilakukan. Proses kerja yang terdapat pada domain ME adalah: a. ME1 Monitor and evaluate IT performance. b. ME2 Monitor and evaluate internal control. c. ME3 Ensure regulatory compliance. d. ME4 Provide IT governance. Gambaran kerangka kerja Cobit versi 4.1 secara lengkap dapat dilihat pada gambar dibawah ini:

17 Gambar 2.2 Kerangka kerja COBIT 4.1 2.3 Cobit Maturity Model Cobit menyediakan parameter untuk melakukan penilaian sebaik apa pengelolaan IT pada suatu organisasi dengan menggunakan maturity models. Cobit mempunyai model kematangan (maturity models) untuk mengontrol prosesproses IT dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses IT yang dimilikinya. Pada Cobit maturity model mempunyai skala 6 level penilaian yang disebut maturity level, dari skala non-existent sampai dengan optimised (dari 0 sampai 5). Berikut ini penjelasan singkat untuk masing-masing level 1. Level 0 (Non-existent), pada level ini perusahaan belum melakukan identifikasi atas proses TI. Perusahaan beranggapan hal tersebut merupakan hal yang tidak perlu dipertimbangkan. 2. Level 1 (Initial/Adhoc), pada level ini perusahaan telah menyadari bahwa terdapat beberapa proses TI yang telah berjalan. Proses-proses TI tersebut berjalan tetapi dilakukan tanpa standar prosedur operasional dan belum didokumentasikan. 3. Level 2 (Repeatable but intuitive), pada level ini proses TI yang berjalan belum seluruhnya memiliki standar prosedur operasional. Selain itu, proses sosialisasi atas standar prosedur tersebut belum

18 seluruhnya dilakukan dan dikomunikasikan secara formal kepada personil terkait. 4. Level 3 (Defined process), pada level ini perusahaan telah memiliki standar prosedur operasional dan terdokumentasi dengan baik serta telah melakukan sosialisasi secara formal atas seluruh proses TI yang berjalan. 5. Level 4 (Managed and Measurable), pada level ini perusahaan melakukan pengawasan dan memastikan proses telah berjalan sesuai prosedur dan kebijakan yang berlaku. Selain itu, perusahaan telah melakukan penilaian dalam memastikan proses yang ada, telah berjalan secara efektif. Penerapan proses yang terautomasi merupakan salah satu pertimbangan penilaian pada level ini. 6. Level 5 (Optimized), pada level ini, proses-proses TI yang berjalan telah mencapai tingkatan good practice. Hal ini dapat dinilai dari keselarasan proses-proses TI dengan perubahan atau perkembangan TI serta bisnis perusahaan. Seluruh proses TI telah terintegrasi dan memiliki proses yang telah terautomasi. Gambar 2.3 Matury Model Cobit Pada penelitian ini akan menggunakan Cobit Maturity Model sebagai acuan dalam melakukan pengukuran tingkat kemapanan tata kelola yang ada di PT BEI. Salah satu model pengukuran tingkat kemapanan yang diperkenalkan oleh ITGI yaitu dengan mengukur tingkat kemapanan dari atribut-atributnya (disebut maturity attribute). Pengukuran yang dilakukan menggunakan maturity

19 attribute karena maturity attribute memuat daftar karakteristik bagaimana proses TI dikelola dan menjelaskan bagaimana mereka berevolusi dari non-existent sampai dengan optimised process. Maturity attribute ini dapat digunakan untuk assessment dengan lebih komprehensif, analisis kesenjangan yang ada dan perencanaan perbaikan (ITGI, 2007). Assessment dengan maturity attribute dipilih karena sesuai dengan kebutuhan dari PT BEI dengan alasan sebagai berikut: 1. Penilaian dapat dilakukan dengan lebih komprehensif, meliputi cara komukasi antara TI dengan user, prosedur yang telah diterapkan, tools yang digunakan, kebutuhan personil TI serta pembagian tanggung jawab akan dinilai dan diberikan rekomendasi untuk menanggulangi kekurangannya (gap analisys) 2. Adanya acuan yang jelas dalam penilaian maturity attribute sesuai yang tertera pada tabel 2.2 sehingga mengurangi miss interpersepsi dan lebih mudah mengkomunikasikan dengan pihak-pihak yang mungkin masih awam dengan penilaian maturity berdasarkan Cobit 4.1 Berikut ini merupakan atribut yang digunakan dalam melakukan assessment tingkat kemapanan tata kelola: 1. Tingkat kesadaran dan adanya sosialisasi 2. Keberadaan kebijakan, standar dan prosedur 3. Penggunaan alat bantu dan sistem otomasi 4. Ketrampilan dan keahlian pelaksana 5. Kejelasan Tanggung jawab dan akuntabilitas 6. Ditetapkannya target dan pengukuran kinerja Untuk mendapatkan data tingkat kemapanan dari setiap atribut di atas diperoleh dari hasil pemetaan kondisi eksisting dengan ke enam atribut di atas. Jika terdapat hal-hal yang belum jelas akan dilakukan konfirmasi ulang sehingga nilai dari setiap atribut akan lebih valid. Setelah diketahui nilai-nilai dari setiap atribut maka kita dapat melakukan perhitungan nilai kemapanan untuk suatu proses, dalam penelitian ini proses yang akan diteliti hanya mencakup prosesproses pada domain DS. Nilai kemapanan (maturity level ML) proses didapat

20 dari hasil rata-rata dari setiap nilai atribut, dalam penelitian ini pembobotan setiap atribut disamakan. Berikut ini merupakan acuan dalam memberikan nilai untuk setiap atribut, nilai paling rendah adalah 1 dan yang paling tinggi adalah nilai 5, setiap nilai mempunyai kriteria penilaian tersendiri yang dapat dilihat pada tabel 2.2:

21 Tabel 2.2 Maturity Attribute ML Awareness and Communication (AC) 1 Recognition of the need for the process is emerging. There is sporadic communication of the issues. 2 There is awareness of the need to act. Management communicates the overall issues. Policies, Plans and Procedures (PPP) There are ad hocapproaches to processes and practices. The process and policies are undefined. Similar and common processes emerge, but are largely intuitive because of individual expertise. Some aspects of the process are repeatable because of individual expertise, and some documentation and informal understanding of policy and procedures may exist. Tools and Automation (TA) Some tools may exist; usage is based on standard desktop tools. There is no planned approach to the tool usage. Common approaches to use of tools exist but are based on solutions developed by key individuals. Vendor tools may have been acquired, but are probably not applied correctly, and may even be shelfware. Skills and Expertise (SE) Skill required for the process are not identified. A training plan does not exist and no formal training occurs. Minimum skill requirements are identified for critical areas. Training is provided in response to needs, rather than on the basis of an agreed plan, and informal training on the job occurs. Responsibility and Accountability (RA) There is no definition of accountability and responsibility. People take ownership of issues based on their own initiative on a reactive basis. An individual assumes his/her responsibility and is usually held accountable, even if this is not formally agreed. There is confusion about responsibility when problems occur, and a culture of blame trends to exist. Goal Setting and Measurement (GM) Goals are not clear and no measurement takes place. Some goal setting occurs; some financial measures are established but are known only by senior management. There is inconsistent monitoring in isolated areas.

22 Tabel 2.3 Maturity Attribute (lanjutan) ML Awareness and Communication (AC) 3 There is understanding of the need to act. Management is more formal and structured in its communication. 4 There is understanding of the full requirements. Mature communication techniques are applied and standard communication tools are in use. Policies, Plans and Procedures (PPP) Usage of good practices emerges. The process, policies and procedures are defined and documented for all key activities. The process is sound and complete; internal best practices are applied. All aspects of the process are documented and repeatable. Policies have been approved and signed off on by management. Standards for developing and maintaining the processes and procedures are adopted and followed. Tools and Automation (TA) A plan has been defined for use and standardisation of tools to automate the process. Tools are being used for their basic purposes, but may not all be in accordance with the agreed plan, and may not be integrated with one another. Tools are implemented according to a standardised plan, and some have been integrated with other related tools. Tools are being used in main areas to automate management of the process and monitor critical activities and controls. Skills and Expertise (SE) Skill requirements are defined and documented for all areas. A formal training plan has been developed, but formal training is still based on individual initiatives. Skill requirements are routinely updated for all areas, proficiency is ensured for all critical areas, and certification is encouraged. Mature training techniques are applied according to the training plan, and knowledge sharing is encouraged. All internal domain experts are involved, and the effectiveness of the training plan is assessed. Responsibility and Accountability (RA) Process responsibility and accountability are defined and process owners have been identified. The process owner is unlikely to have the full authority to exercise the responsibilities. Process responsibility and accountability are accepted and working in a way that enables a process owner to fully discharge his/her responsibilities. A reward culture is in place that motivates positive action. Goal Setting and Measurement (GM) Some effectiveness goals and measures are set, but are not communicated, and there is a clear link to business goals. Measurement processes emerge, but are not consistently applied. IT balanced scorecard ideas are being adopted, as is occasional intuitive application of root cause analysis. Efficiency and effectiveness are measured and communicated and linked to business goals and the IT strategic plan. The IT balanced scorecard is implemented in some areas with exceptions noted by management and root cause analysis is being standardised. Continuous improvement is emerging.

23 Tabel 2.4 Maturity Attribute (lanjutan) ML Awareness and Communication (AC) 5 There is advanced, forward-looking understanding of requirements. Proactive communication of issues based on trends exists, mature communication techniques are applied, and integrated communication tools are in use. Policies, Plans and Procedures (PPP) External best practices and standards are applied. Process documentation is evolved to automated workflows. Processess, policies and procedures are standardised and integrated to enable end-to-end management and improvement. Tools and Automation (TA) Standardised tools sets are used across the enterprise. Tools are fully integrated with other related tools to enable end-to-end support of the processes. Tools are being used to support improvement of the process and automatically detect control exceptions. Skills and Expertise (SE) The organisation formally encourages continuous improvement of skills, based on clearly defined personal and organisational goals. Training and education support external best practices and use of leading-edge concepts and techniques. Knowledge sharing is an enterprise culture, and knowledge-based systems are being deployed. External experts and industry leaders are used for guidance. Responsibility and Accountability (RA) Process owners are empowered to make decisions and take action. The acceptance of responsibility has been cascaded down throughout the organisation in a consistent fashion. Goal Setting and Measurement (GM) There is an integrated performance measurement performance measurement system linking IT performance to business goals by global application of the IT balanced scorecard. Exceptions are globally and consistently noted by management and root cause analysis is applied. Continuous improvement is a way of life.

24 2.4 ITIL versi 3 ITIL adalah suatu kerangka kerja umum yang menggambarkan Best Practice layanan manajemen TI. ITIL menyediakan kerangka kerja bagi tatakelola TI, serta wrapping layanan. ITIL memfokuskan diri pada pengukuran terus menerus dan perbaikan kualitas layanan TI yang disampaikan, baik dari perspektif bisnis maupun pelanggan. ITIL banyak diterapkan karena mempunyai beberapa manfaat bagi perusahaan, antara lain: 1. Peningkatan kepuasan bagi pengguna dengan layanan IT 2. Ketersediaan layanan yang meningkat, hal ini dapat berdampak pada keuntungan usaha 3. Penghematan keuangan dari berkurangnya rework, kehilangan waktu, pengelolaan sumber daya manajemen yang lebih baik karena bisa langsung menggunakan best practice yang terdapat dalam kerangka kerja ITIL. 4. Pengambilan keputusan yang lebih baik 5. Meminimalkan risiko ITIL versi pertama diterbitkan antara tahun 1989 dan 1995 oleh Her Majesty's Stationery Office (HMSO) di Inggris atas nama Kantor Pemerintah Perdagangan (Office of Government Commerce). Penggunaan ITIL pada awalnya masih terbatas di negara Inggris dan Belanda. Sampai saat ini, ITIL versi terakhir adalah ITIL versi 3 yang diterbitkan pada 30 Juni 2007. Pada ITIL versi 3, lebih ditekankan pada pengelolaan lifecycle dari layanan yang disediakan oleh TI. Pada lifecycle tersebut dibagi menjadi 5 bagian, yaitu: 1. Service Strategy, mempunyai tujuan untuk menunjukkan organisasi bagaimana cara untuk mengubah manajemen pelayanan (service management) menjadi aset strategis dan untuk kemudian berpikir dan bertindak secara strategis. Service strategy digunakan untuk membantu menjawab pertanyaan sebagai berikut, layanan apa yang harus ditawarkan dan kepada siapa, apa yang bisa membedakan layanan kita dari yang lain, bagaimana sumber daya harus dialokasikan dan

25 bagaimana kinerja dari layanan akan diukur. Proses-proses yang dicakup dalam Service Strategy antara lain: a. Service Portfolio Management b. Financial Management c. Demand Management 2. Service Design, dimulai dengan satu set kebutuhan bisnis dan berakhir dengan pengembangan solusi layanan yang dirancang untuk memenuhi kebutuhan bisnis tersebut serta untuk menghasilkan Service Design Package (SDP) untuk serah terima ke Service Transition. Service Design memberikan panduan kepada organisasi TI untuk dapat secara sistematis dan best practice mendesain dan membangun layanan TI. Service Design berisi prinsip-prinsip dan metode-metode desain untuk mengkonversi tujuan-tujuan strategis organisasi TI dan bisnis menjadi portofolio/koleksi layanan TI serta aset-aset layanan. Ruang lingkup Service Design tidak melulu hanya untuk mendesain layanan TI baru, namun juga proses-proses perubahan maupun peningkatan kualitas layanan, kontinyuitas layanan maupun kinerja dari layanan. Prosesproses yang dicakup dalam Service Design yaitu: a. Service Catalog Management b. Service Level Management c. Supplier Management d. Capacity Management e. Availability Management f. IT Service Continuity Management g. Information Security Management 3. Service Transition, menyediakan panduan kepada organisasi TI mengembangkan dan mengimplementasikan design yang telah dibuat pada Service Design ke area produksi (operasional). Tahapan lifecycle ini memberikan gambaran bagaimana sebuah kebutuhan yang didefinisikan dalam Service Strategy kemudian dibentuk dalam Service Design untuk selanjutnya secara efektif direalisasikan dalam Service Operation. Proses-proses yang dicakup dalam Service Transition yaitu:

26 a. Transition Planning and Support b. Change Management c. Service Asset & Configuration Management d. Release & Deployment Management e. Service Validation f. Evaluation g. Knowledge Management 4. Service Operation, mempunyai tujuan memberikan tingkat layanan (service level) yang telah disepakati kepada pengguna dan pelanggan, selain itu untuk mengelola aplikasi, teknologi dan infrastruktur yang mendukung pengiriman layanan tersebut. Proses-proses yang dicakup dalam Service Operation yaitu: a. Event Management b. Incident Management c. Problem Management d. Request Fulfillment e. Access Management 5. Continual Service Improvement (CSI), berkaitan dengan bagaimana cara mempertahankan value bagi pelanggan melalui evaluasi yang berkesinambungan dan peningkatan kualitas layanan dan kematangan keseluruhan lifescyle dari IT service management (ITSM). CSI mengkombinasikan berbagai prinsip dan metode dari manajemen kualitas, salah satunya adalah Plan-Do-Check-Act (PDCA) atau yang dikenal sebagi Deming Quality Cycle

27 Gambar 2.4 Kerangka kerja ITIL versi 3 Pada penelitian ini kerangka kerja ITIL versi 3 akan digunakan sebagai acuan dalam melakukan perbaikan prosedur kerja yang ada di PT BEI. 2.5 Manajemen Risiko Dalam melakukan pembahasan menengai manajemen risiko, perlu diketahui terlebih dahulu mengenai definisi dari risiko itu sendiri. Terdapat beberapa definisai dari risiko, menurut kamus besar bahasa Indonesia, kata risiko mempunyai definisi sebagai berikut akibat yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau tindakan. Menurut Australian Standards/New Zealand Standards 4360:2004 (AS/NZS, 2004), definisi dari kata risiko adalah peluang terjadinya sesuatu yang akan berdampak dalam pencapaian tujuan. Dalam hal ini risiko diukur dari besaran konsekuensi dan kemungkinan kejadiannya. Menurut kedua pengertian di atas, dapat diketahui bahwa risiko merupakan akibat yang kurang menyenangkan yang dapat berdampak pada pencapaian tujuan, risiko itu sendiri diukur dari dampak yang ditimbulkannya dan kemungkinan terjadinya risiko tersebut. Setelah mengetahui definisi dari risiko, selanjutnya akan dibahas mengenai beberapa definisi dari manajemen risiko. Menurut Australian Standards/New Zealand Standards 4360:2004, definisi dari manajemen risiko adalah suatu proses yang logis dan sistematis dalam mengidentifikasi, menganalisa, mengevaluasi, mengendalikan, mengawasi, dan mengkomunikasikan risiko yang berhubungan

28 dengan segala aktivitas, fungsi atau proses dengan tujuan perusahaan mampu meminimasi kerugian dan memaksimumkan kesempatan. Implementasi dari manajemen risiko ini membantu perusahaan dalam mengidentifikasi risiko sejak awal dan membantu membuat keputusan untuk mengatasi risiko tersebut. Technology Sedangkan menurut NIST - National Institute of Standard and (Stoneburner, 2004) definisi dari manajemen risiko adalah proses dari mengidentifikasi, mengontrol dan meringankan sistem informasi terkait risiko yang melingkupi pengkajian risiko, analisa manfaat biaya, pemilihan, implementasi, pengetesan dan evaluasi keamanan. Berdasarkan definisi di atas, maka dapat diambil kesimpulan bahwa manajemen risiko merupakan sebuah proses di dalam melakukan identifikasi risiko, kemudian menganalisis risiko, serta melakukan pemilihan langkah-langkah untuk meminimalisir risiko tersebut. Selanjutnya akan disampaikan beberapa framework manajemen risiko. 2.6 Framework NIST NIST (National Institute of Standard and Technology ) mengeluarkan rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide for Information Technology System (Stoneburner, 2004). Terdapat tiga proses dalam manajemen risiko Gambar 2.5 Framework Risk manajemen NIST 800-30

29 Berikut ini merupakan penjelasan singkat untuk setiap proses yang terdapat pada framework NIST. 1. Penilaian risiko (risk assessment) merupakan proses yang mencakup identifikasi, evaluasi risiko, dampak risiko, pengukuran nilai risiko dan penyusunan rekomendasinya 2. Mitigasi risiko (risk mitigation) merupakan proses yang penseleksian rekomendasi yang telah disampaikan pada saat risk assessment,membuat urutan prioritas implementasi dan mengimplementasi control yang dipilih. 3. Evaluasi risiko (risk evaluation) merupakan proses untuk melakukan evaluasi apakah pendekatan manajemen risiko yang telah diterapkan sudah sesuai atau belum. Dalam evaluasi ini termasuk evaluasi efektifitas control dan harus dilakukan secara terus menerus untuk memperbaiki kinerja manajemen risiko. Penjelasan untuk masing-masing tahapan di atas akan dijelaskan secara lebih detail pada bagian dibawah ini a. Langkah-langkah dalam penilaian risiko: 1. Mengetahui karakteristik dari sistem TI: hardware, software, sistem antarmuka (koneksi internal atau eksternal), data dan informasi, orang yang mendukung atau menggunakan sistem, arsitektur keamanan sistem, topologi jaringan sistem. 2. Identifikasi Ancaman yang mungkin menyerang kelemahan sistem TI. Sumber ancaman bisa berasal dari alam, manusia dan lingkungan. 3. Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur keamanan, desain, implementasi, dan internal kontrol terhadap sistem sehingga menghasilkan pelanggaran terhadap kebijakan keamanan sistem. 4. Menganalisa kontrol kontrol yang sudah diimplementasikan atau direncanakan untuk diimplementasikan oleh organisasi untuk mengurangi atau menghilangkan kecenderungan (kemungkinan) dari suatu ancaman menyerang sistem yang vulnerable.