Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
7
BAB 2
LANDASAN TEORI
1.1 Sistem Informasi
Sistem Informasi adalah suatu proses yang mengumpulkan, memproses,
menyimpan, menganalisa dan menyebarluaskan informasi untuk suatu tujuan
tertentu, dan biasanya sistem informasinya terkomputerisasi (Rainer & G.Cegielski,
2015, p. 6).
Menurut (Brown et al, 2012, p. 330)Sistem Informasi dapat di definisikan
dalam penjelasan yang cukup luas seperti salah satunya adalah sebuah kumpulan dari
teknologi informasi, prosedur, dan orang orang yang bertanggung jawab dalam
menangkap, memindahkan, mengatur, dan menyebarkan data serta informasi.
Sistem informasi adalah kumpulan komponen-komponen yang saling
terhubung yang terkumpul, terproses, tersimpan dan tersedia sebagai hasil informasi
yang dibutuhkan untuk menyelesaikan proses bisnis atau sebuah tugas. (Satzinger,
Jackson, dan Burd, 2012, p. 4)
1.1.1 Informasi
Menurut (O’brien & Marakas, 2013, p, 32), informasi dapat
didefinisikan sebagai data yang telah diubah kedalam konteks yang memiliki
arti dan berguna untuk para pengguna informasi.
"Informasi adalah data yang sudah diorganisir sehingga memiliki arti
dan nilai bagi penerima. Penerima akan menerjemahkan arti dan mengambil
kesimpulan dampak dari informasi" (Rainer & G.Cegielski, 2015, p.12).
Jadi berdasarkan definisi data diatas data yang telah diproses dan
berguna bagi kebutuhan organisasi maupun bisnis.
1.1.2 Sistem
Sistem Menurut (O’Brien & Markas, 2012, p. 29) sistem dapat
diartikan satu kumpulan komponen yang saling berkaitan dan bekerjasama
untuk mencapai tujuan bersama dengan menerima input dan menghasilkan
output dalam proses transformasi yang teratur.
8
(Brown et al 2012, p. 330) Sistem adalah sebuah kumpulan dari
komponen- komponen yang saling berhubungan dan bekerja sama untuk
dapat mencapai suatu tujuan.
Sistem adalah sesuatu yang mengambil input, menerapkan
sekumpulan aturan atau proses pada input dan menghasilkan output
(Considine & dkk., 2012, p. 10).
1.1.3 Peran Sistem Informasi
Menurut (Bagad, 2009, p.1-2) terdapat 3 peranan penting dalam
pengaplikasian sistem informasi bagi suatu proses bisnis dalam perusahaan
yaitu:
1. Mendukung dalam operasi proses bisnis perusahaan
Dalam operasi proses bisnis perusahaan, sistem informasi memiliki
bermacam-macam fungsi dalam pengaplikasiannya. Seperti contoh
berikut ini, dalam toko retail, sistem informasi yang
terkomputerisasi dapat digunakan dalam berbagai operasi bisnis
seperti mencatat pembelian, membuat tanda pembayaran,
melakukan pengaturan cash, inventoryatau stok, dan sebagainya.
2. Mendukung dalam pengambilan keputusan oleh bagian
pengelolaan/level manajerial
Dalam operasi proses bisnis perusahaan, sistem informasi memiliki
bermacam-macam fungsi dalam pengaplikasiannya. Seperti contoh
berikut ini, dalam toko retail, sistem informasi yang
terkomputerisasi dapat digunakan dalam berbagai operasi bisnis
seperti mencatat pembelian, membuat tanda pembayaran,
melakukan pengaturan cash, inventory stok, dan sebagainya.
3. Mendukung dalam pembuatan strategi-strategi untuk persaingan
yang lebih ungul (strategic competitive advantage)
Inovasi dalam penggunaan teknologi informasi dapat menciptakan
strategi dalam mencapai keunggulan kompetitif atas competitor.
Sebagai contoh, keputusan perusahaan untuk menggunakan
komputer berbasis sistem pemesanan menggunakan telepon atau
internet dapat menjadi salah satu keunggulan dalam memudahkan
pembeli untuk melakukan pemesanan.
9
1.2 Database
Database adalah kumpulan data yang terintegrasi dimana dapat dikelola dan
dikendalikan secara terpusat.(Satzinger, Jackson, dan Burd, 2012, p. 373).
1.3 Bisnis Proses
Menurut Romney & Steibart (2012, p.25), Business Process adalah seraikaian
kegiatan terkair, terkoordinasi dan terstruktur dan tugas-tugas yang dilakukan oleh
seseorang atau oleh komputer atau mesin, dan bantuan yang mencapai tujuan
organisasi tertentu.
Sedangkan menurut Rainer &Cigielski (2015, p.27) Business process adalah
sekumpulan dari aktivitas terkait yang akan menciptakan nilai produk dan jasa bagi
perusahaan, rekan bisnis dan pelanggannya.
1.4 Implementasi
Menurut Turban & Volonino (2012, p.410) implementasi adalah proses
konversi dari sistem lama ke sistem baru. Hal ini termasuk mengintegrasika proses
dengan proses lainnya yang menggunakan input atau output, testing dan
memverifikasi bahwa semua dikerjakan dengan benar dan reliable.
Marchewka (2013,p.411) menjelaskan bahwa implementasi berfokus pada
menginstal atau menyampaikan tujuan-tujuan dari projek tersebut.
Menurut (Wang & Wang, 2012, p.127 & 131) implementasi adalah proses
membangun sistem to-be yang didasari dari spesifikasi sistem yang didapatkan dari
fase perancangan dan mengkonversi sistem. Terdapat 3 cara konversi dalam
implementasi yaitu:
1. Direct Conversion
Sistem lama langsung digantikan dengan sistem baru.Konversi dengan
cara ini mudah namun juga sangat berisiko.
2. Parallel Conversion
Metode parallel adalah ketika kedua sistem baik lama maupun baru
berjalan bersamaan selama beberapa waktu sampai sistem baru dapat
berjalan sempurna. Keuntungan dari metode ini yaitu dapat menghindari
dari terjadinya resiko terhadap kegagalan sistem baru namun
membutuhkan biaya operasional yang tinggi.
10
3. Phased Conversion
Metode konversi phased yaitu melakukan pergantian sistem lama dengan
sistem baru secara bertahap. Metode ini adalah metode konversi yang
paling sering digunakan dan memiliki keuntungan seperti pada konversi
parallel yaitu mengurangi resiko terjadinya kegagalan implementasi
sistem.
Berdasarkan pengertian diatas dapat disimpulkan bahwa implementasi adalah
proses untuk membangun atau merekonstruksi sistem baru yang dimana selalu
didasari dari spesifikasi kebutuhan perusahaan yang nantinya akan dikonversikan
atau digantikan dari sistem lama ke sistem baru.
1.5 Control
1.5.1 Internal Control
Menurur Harmer (2013, p.29) Pengendalian internal yang ditempatkan
oleh perusahaan untuk mengirimkan kebijakan tata kelola di seluruh
perusahaan untuk memastikan kontrol informasi keuangan dan akuntansi,
dengan tujuan memenuhi target operasional dan profitabilitas sekaligus
mematuhi peraturan.
1.5.2 Integrity Control
Menurut Satzinger, Jackson, dan Burd (2012, p. 392) “mechanisms
and procedures that are built into an application system to safeguard
information contained within it”. Yang dapat diartikan mekanisme dan
prosedur dibangun didalam sistem aplikasi untuk menjaga informasi yang ada
didalamnya.
Integrity Control dapat dibagi menjadi 3 jenis:
1. Input integrity control
Input integrity control adalah sebuah tambahan proses verifikasi
yang membantu mengurangi kesalahan dalam proses input data.
Jenis-jenis input integrity control:
a. Field combination Control
b. Value limitet controls
c. Completeness controls
d. Data validation control
11
2. Databaseintegrity control
5 area utama dalam keamanan dan control yang dapat
diimplementasikan dalam database:
a. Access control
b. Encryption
c. Transaction control
d. Update control
e. Backup and recovery
3. Output integrity control
Tujuan dari output controls adalah untuk menjamin output yang
dihasilkan sampai pada tujuan yang benar serta akurat dan lengkap.
1.6 IT Governance
IT Governance is specifying the decision rights and accountability framework
to encourage desirable behavior in the use of IT, dapat diartikan IT Governance/
Tata kelola TI adalah menentukan keputusan yang benar dan kerangka kerja
akuntabilitas untuk mendorong perilaku yang diinginkan dalam penggunaan IT
(Weill & Ross, 2004, p.8)
Menurut Weill & Ross (2004, p.14) Good IT Governance adalah keputusan
harmonisasi tentang pengelolaan dan penggunaan IT dengan prilaku yang diinginkan
dan tujuan bisnis. Tanpa struktur pemerintahan yang dirancangan dan dilaksanaan
dengan teliti, perusahaan akan meninggalkan keselarasan untuk kesempatan. Ada
banyak alasan why IT Decision Making should not be left to chance and thus needs
good governance.
Menurut Weill & Ross, ada delapan alasan:
1. Good IT Governance Pays Off
2. IT is Expensive
3. IT is Pervasive
4. New Information Technologies Bombard Enterprises with New Business
Opportunities
5. IT Governance is Critical to Organizational Learning About IT Value
6. IT Value Depends on More Than Good Technology
7. Senior Management Has Limited Bandwidth
8. Leading Enterprise Govern IT Differently
12
Tata kelola perusahaan menyadari adanya seretan skandal perusahaan dari
pertengahan tahun 2002 untuk beberapa nama seperti Enron, Worldcom, dan Tyco.
Tujuan dalan tata kelola perusahaan tidaklah baru, tapi kejamnya dampak keuangan
dari skandal ini menggerogoti kepercayaan dari keprihatinan lembaga dan investor
perorangan dan tingginya fokus terhadap kemampuan dan tekad dari perusahaan
swasta untuk melindungi para pemangku kepentingan mereka. (Weill & Ross, 2004,
p.4)
Good corporate governance itu penting bagi investor yang professional,
tingkat lembaga-lembaga utama tata kelola perusahaan setara dengan indikator
keuangan perusahaan ketika mengevaluasi keputusan investasi. Weill & Ross (2004,
p.4)
Menurut Weill & Ross (2004, p.5-7) The key elements of each asset include
the following:
1. Human assets: people, skills, career paths, training, reporting, mentoring,
competencies, and so on
2. Financial assets: cash, investment, liabilities, cash flow, receivables, and
so on
3. Physical assets: building, plant, equipment, maintenance, security,
utilization, and so on
4. IP assets: intellectual property (IP), including products, services, and
process know-how formally patented, copy righted, or embedded in the
enterprise people and system
5. Information and IT Assets: digitized data, information and knowledge
about customers, processes performance, finances, information systems,
and so on
6. Relationship assets: relationships within the enterprise as well as
relationships, brand, and reputation with customers, supplier, business
units, regulators, competitors, channel partners and so on
13
1.7 Governance and Enterprise
Menurut Harmet (2013, p.11)Enterprise adalah istilah yang digunakan untuk
menggambarkan berbagai organisasi yang berbeda: bisnis komersial (sering disebut
perusahaan) yang mungkin, atau tidak mungkin, dikutip di bursa saham; organisasi
sektor publik seperti departemen pemerintah lokal atau nasional, atau organisasi non-
profit seperti organisasi non-pemerintah atau amal.
Perusahaan adalah istilah yang lebih umum daripada bisnis karena bisnis
sering diartikan adanya kepentingan komersial.Mungkin jangka waktu organisasi
biasa digunakan sejak itu juga, mencakup berbagai perusahaan yang berbeda hanya
dibahas dan bagan organisasi istilah yang umum digunakan di semua jenis
enterprises. Namun, perusahaan telah menjadi istilah yang sering digunakan di abad
ke-21 ketika membahas tata kelola organisasi: yaitu pemerintahan perusahaan.
Harmer (2013, p.12), menjelaskan Tata Kelola perusahaan yang sangat
ringkas, dan menyatakan ada tiga bagian: Kepemilikan, Tata kelola dan Manajemen.
Dia menunjukkan bahwa pemegang saham memiliki kepemilikan korporasi dan
Gambar 2.1Governance and Enterprise
14
ditunjuk direksi untuk mengatur korporasi.Para direktur bertugas untuk melindungi
pemegang saham yang menginvestasi saham dalam perusahaan dengan bekerja
dengan manajemen untuk mengembangkan strategi perusahaan dan dengan
mengarahkan manajemen untuk menjalankan korporasi.Tugas manajemen adalah
untuk mengembangkan kemampuan bisnis 'dan' operasi bisnis berjalan. Para direktur
juga akan meminta manajemen untuk memberikan laporan sehingga mereka bisa
memantau apakah manajemen mereka bertemu arahan.
1.7.1 EnterpriseArchitecture
Arsitektur enterprise adalah sebuah kerangka kerja, pertama kali
didirikan 25 tahun yang lalu, yang memungkinkan strategi bisnis yang akan
dicapai dengan menggunakan sistem informasi dan teknologi informasi
dengan menentukan bagaimana proses bisnis di seluruh perusahaan akan
dikembangkan dan distandarisasi menggunakan sistem informasi dan
teknologi informasi. arsitektur enterprise dapat dilihat sebagai satu set
domain. Ada beberapa kerangka arsitektur perusahaan dan masing-masing
memiliki pandangan yang sedikit berbeda dari domain, tetapi prinsip-prinsip
umum yang sama. (Harmer, 2013, p.24)
1.8 Pengertian IT Governance
IT Governance (Tata kelola Teknologi 1nformasi) menurut Sharma
(2009) adalah proses dan struktur yang memastikan organisasi melakukan
investasi TI mereka dengan tepat dengan kegiatan-kegiatan mereka, baik
program, proyek ataupun kegiatan operasional yang mereka danai dapat
berjalan dengan benar dan meencapai hasil yang dinginkan. Lebih lanjut
lagiSharma menjelaskan bahwa ITGovernance merupakan yang kegiatan
berkelanjutan dan membutuhkan perubahan yang terus-menerus, sedangkan
menurut Turner (2013, p. 21) tata kelola adalah sebuah kepemimpinan,
struktur organisasi dan proses yang memastikan bahwa perusahaan akan
mencapai tujuannya dengan meningkatkan nilai yang menyeimbangkan risiko
yang disesuaikan kembali dengan TI dan prosesnya
15
1.9 Sejarah COBIT
Sejarah awal Control Objective for Information and related Technology atau
disingkat COBIT berasal dari Erik Guldentops, sekarang Executive Profesor di
Universitas Sekolah Manajemen Antwerp (UAMS), yang diakui sebagai 'kakek dari
COBIT'. Guldentops mengatakan bahwa ketika ia di Paris pada tahun 1991 pada
pertemuan Dewan Daerah ISACA Eropa, ia diundang untuk melakukan penelitian
untuk merancang inisiatif audit TI Eropa.
Pada saat itu, Guldentops adalah Kepala Inspektur di SWIFT, internasional
tubuh transfer dana, di mana ia kemudian menjadi Direktur Keamanan Informasi.
artikelnya juga mencantumkan nama-nama kelompok 34 orang yang dipimpin oleh
dirinya sendiri yang mengembangkan versi pertama dari COBIT yang dikeluarkan
pada tahun 1996. Ia juga menunjukkan bahwa itu adalah Electronic Data
Prrocessing Auditors Assosiation (EDPAA) Tujuan pengendalianini mendorong
penelitiannya (mungkin, dalam pandangan saya, menjelaskan mengapa COBIT
awalnya disebut tujuan pengendalian Informasi dan Teknologi yang terkait). Saat ini,
COBIT adalah sebuah kata, tidak lagi akronim, karena COBIT 5 adalah suatu
kerangka kerja bisnis untuk tata kelola dan manajemen perusahaan IT.(Harmer,
2013, p.34)
Gambar 2.2Sejarah COBIT
16
Gambar diatas menunjukkan COBIT awalnya dikembangkan sebagai
kerangka audit TI dan dalam pandangan saat ini sejarah dipandang sebagai bergerak
lebih dari 16 tahun.
1. COBIT 1 : Audit TI
2. COBIT 2 : Kontrol TI
3. COBIT 3 : Manajemen TI
4. COBIT 4.0 /4.1: IT governance untuk tata kelola perusahaan TI
5. COBIT 5 :Governance of Enterprise IT
Pada gambar tersebut adalah perbandingan dari versi COBIT sejak tahun 1996.
17
Tabel 2.1 Perkembangan COBIT
Version
Name Date Domain Names
Number of
Processes
Number of
Control
Objectives
(Pratices)
Comments
COBIT April 1996
Planning and Organization
Acquisition and Implementation
Delivery and Support
Monitoring
32 271 Designed for IS audit
purpose
COBIT 2nd
Edition April 1998
Planning and Organization
Acquisition and Implementation
Delivery and Support
Monitoring
11
6
13
4
302 Detailed
34
high-level
COBIT
3rdEdition July 2000
Planning and Organization
Acquisition and Implementation
Delivery and Support
Monitoring
11
6
13
4
318 Detailed
34
high-level
Management guidelines
and Maturity Methods
Added
18
Version
Name Date Domain Names
Number of
Processes
Number of
Control
Objectives
(Pratices)
Comments
COBIT 4
4.0 Dec
2005
4.1 May
2007
Plan and Organise (PO)
Acquire and Implement (AI)
Deliver and Support (DS)
Monitor and Evaluate (ME)
10
7
13
4
4.0: 215
4.1: 210
Verbs replace nouns in
process names
COBIT 5 April 2012
Evaluate, Direct and Monitor (EDM)
Align, Plan ang Organise (APO)
Build, Acquire and Implement (BAI)
Deliver, Service and Support(DSS)
Monitor, Evaluate and Access (MEA)
5
13
10
6
3
Governance
Pratice (15)
Management
Pratice (195)
Separation of
governance&management,
210 pratices in total
19
1.10 Enabler Dimension cover aspects of every enabler
Aspek-aspek tersebut adalah:
1. Stakeholders
Stakeholders adalah setiap orang, internal atau eksternal untuk
perusahaan yang terlibat dengan, atau memiliki kepentingan dalam
enabler tersebut. Contoh stakeholder dapat dilihat di Tabel 2.3
Stakeholders.
Tabel 2.2 Stakeholders
Internal Stakeholders Eksternal Stakeholders
Board of Directors Shareholders
CEO, CFO, CIO, CRO, CISO,
COO, CTO
Customer
Business executives, managers
and business process owners
Business Partners and suppliers
Risk and Compliance managers Regulators and Standarisation
Security managers Consultant
Service managers External Auditors
Internal
Auditors IT
IT Users
Ini adalah kebutuhan stakeholdersyang mendorong tujuan perusahaan
yang sendiri menentukan tujuan yang berkaitan dengan IT yang
dibutuhkan oleh perusahaan.
2. Goals
Enabler memberikan nilai kepada perusahaan dengan pencapaian
tujuan.Setiap tujuan enabler dijelaskan dalam tiga kategori, seperti yang
ditunjukkan pada Tabel 2.3 Goals.
20
Tabel 2.3Goals
Enabler Category Meaning
Intrinsic quality Enabler bekerja secara akurat dan objektif
memberikan hasil terkemuka, akurat dan objektif.
Contextual
quality
Enabler cocok untuk tujuan (yaitu menampilkan
relevansi dan efektivitas) dalam konteks yang
digunakan. Ini berarti akan dimengerti, mudah
digunakan dan itu akan bekerja dan mencapai
hasil-benar, tepat dan konsisten.
Access
and Security
Enabler dan hasil nya dapat diakses seperti yang
diperlukan tetapi juga dijamin sehingga hasil
enabler hanya dapat diakses oleh orang-orang
yang membutuhkan dan telah diberikan akses.
3. Lifecycle
Masing-masing dari enabler memiliki siklus hidup yang dimulai dengan
perencanaan pengenalan enabler, dan diikuti oleh operasional yang
digunakannya.COBIT 5 menyediakan daftar standar fase siklus hidup,
seperti yang ditunjukkan padaTabel 2.5 Lifecycle.
Tabel 2.4 Lifecycle
Life Cycle Phases
Plan
Design
Build/ Acquire/ Create/ Implement
Use/Operate
Evaluate/ Monitor
Update/ Dispose
21
4. Good Pratices
Masing-masing dari enabler perlu didefinisikan dalam hal praktek-
praktek yang baik itu akan digunakan. COBIT 5 menyediakan praktik
yang baik yang harus digunakan untuk beberapa enabler seperti Proses
dan Informasi - dalam COBIT 5 seperti Enabling Processes dan
Enabling Information manuals. Untuk enabler lainnya, bimbingan
disediakan dari standar lainnya, kerangka kerja dan penelitian
akademis.Misalnya, praktik yang baik untuk Budaya, Etika dan
Perilaku.
1.11 7 Enablers of COBIT 5
1-7 Enablersdari COBIT 5, diantaranya:
1. Enablers 1: Principles, Policies and Frameworks
Sarana untuk menerjemahkan perilaku yang diinginkan kedalam pedoman
yang praktis untuk kegiatan management sehari-hari.
2. Enablers 2: Processes
Mengambarkan kumpulan kegiatan dan aktifitas dari organisasi untuk
mencapai tujuan tertentu dan menghasilkan output untuk mendukung
pencapaian tujuan yang tentunya berkaitan dengan TI
3. Enablers 3: Organizational Structure
Struktur organisasi adalah kunci entitas pengambilan keputusan dalam sebuah
perusahaan
4. Enablers 4: Culture, Ethics and Behaviour
Budaya, etika dan perilaku individu dan perusahaan yang sangat sering
diremehkan sebagai faktor keberhasilan dalam kegiatan tata kelola dan
manajemen.
5. Enablers 5: Information
Informasi dapat menyebar keseluruh organisasi, dan informasi yang
dihasilkan akan digunakan oleh perusahaan.
6. Enablers 6: Service, Infrastructure, and Applications
Ketiga inilah yang yang menyediakan sesuatu untuk perusahaan dengan
pengolahan dan jasa teknologi informasi.
22
7. Enablers 7: People, Skills and Competencies
Orang, skills dan kompetensi diperlukan untuk menyelesaikan semua
kegiatan dan untuk membuat keputusan yang benar dan mengambil tindakan
korektif.
1.12 Domain and process ofCOBIT 5
COBIT 5 memiliki 37 Proses dalam 5 domain.
Tabel 2.5Domain and Proses of COBIT 5
Domain Domain Name Domain’s main
role
Number of
processes
EDM Evaluate, Direct
and Monitor
Governance 5
APO Align, Plan and
Organise
Strategic 13
BAI Build, Acquire
and Implement
Tactical 10
DSS Deliver, Service
and Support
Operating 6
MEA Monitor, Evaluate
and Assess
Reporting 3
TOTAL 37
1.13 37 Proses dan Standar terkait
Tabel 2.6Proses dan Standar
No. COBIT Process Name Related Guidance Frameworks
and Standards
EDM 01 Ensure Governance
Framework Setting and
Maintenance
COSO, ISO/IEC 38500, King III,
OECD
23
No. COBIT Process Name Related Guidance Frameworks
and Standards
EDM 02 Ensure Benefit Delivery COSO, ISO/IEC 38500, King III,
EDM 03 Ensure Risk Optimisation COSO/ERM, ISO/IEC 31000,
ISO/IEC 38500, King III,
EDM 04 Ensure Resource
Optimisation
ISO/IEC 38500, King III,
TOGAF® 9
EDM 05 Ensure Stakeholder
Transparancy
COSO, ISO/IEC 38500, King III,
APO 01 Manage the IT Management
Framework
ISO/IEC 20000, ISO/IEC 27002
APO 02 Manage Strategy ITIL 2011
APO 03 Manage Enterprise
Architecture
TOGAF® 9
APO 04 Manage Innovation None
APO 05 Manage Portfolio ISO/IEC 20000, ITIL 2011, SFIA
APO 06 Manage Budget and Cost ISO/IEC 20000, ITIL 2011
APO 07 Manage Human Resources ISO27002, SFIA
APO 08 Manage Rekationship ISO/IEC 20000, ITIL 2011
APO 09 Manage Service Agreements ISO/IEC 20000, ITIL 2011
APO 10 Manage Suppliers ISO/IEC 20000, ITIL 2011,
PMBOK®
APO 11 Manage Quality ISO 9001:2008
APO 12 Manage Risk ISO27001:2005, ISO/IEC
27002:2011, ISO/IEC 31000
APO 13 Manage Security ISO/IEC 27001:2005,
ISO27002:2011, NIST SP800-53
Rev 1
24
No. COBIT Process Name Related Guidance Frameworks
and Standards
BAI 01 Manage Programmes and
Project
PMBOK®, PRINCE2
BAI 02 Manage Requirement
Definitions
ITIL 2011
BAI 03 Manage Solutions
Identification and Build
None
BAI 04 Manage Availability and
Capacity
ISO/IEC 20000, ITIL 2011
BAI 05 Manage Organisational
Change Enablement
Kotter (1996), Leading Change,
Boston, Harvard Business School
Press
BAI 06 Manage Changes ISO/IEC 20000, ITIL 2011
BAI 07 Manage Change Acceptance
and Transitioning
ISO/IEC 20000, ITIL 2011,
PMBOK®, PRINCE2
BAI 08 Manage Knowledge ITIL 2011
BAI 09 Manage Assets ITIL 2011
BAI 10 Manage Configuration ISO/IEC 20000, ITIL 2011
DSS 01 Manage Operations ITIL 2011
DSS 02 Manage Services Request and
Incidents
ISO/IEC 20000, ISO27002, ITIL
2011
DSS 03 Manage Problems ISO/IEC 20000, ITIL 2011
DSS 04 Manage Continuity BS25999-2007 (now
ISO22301:2012), ISO/IEC
27002:2011, ITIL 2011
DSS 05 Manage Security Services ISO/IEC 27002:2011, NIST
SP800-53 Rev 1, ITIL 2011
25
No. COBIT Process Name Related Guidance Frameworks
and Standards
DSS 06 Manage Business Process
Controls
None
MEA 01 Monitor, Evaluate and Assess
Performance and
Conformance
ISO/IEC 20000, ITIL 2011
MEA 02 Monitor, Evaluate and Assess
the System of Internal
Controls
None
MEA 03 Monitor, Evaluate and Assess
Compliance with External
Requirement
None
1.14 COBIT 5 Principles
Gambar 2.3COBIT 5 Principles
COBIT 5 memiliki limaprinsip utama untuk tata kelola dan
manajemen perusahaan IT:
26
1. Prinsip 1:Meeting Stakeholder Needs
Usaha untuk menciptakan nilai bagi para pemangku kepentingan
dengan menjaga keseimbangan antara manfaat dari realisasi dan
optimalisasi risiko dari penggunaan sumber daya.
COBIT 5 menyediakan semua proses yang diperlukan dan enabler
untuk mendukung penciptaan nilai bisnis melalui penggunaan IT.
Karena setiap perusahaan memiliki tujuan yang berbeda. Sebuah
perusahaan dapat menyesuaikan COBIT 5 sesuai dengan konteks
sendiri melalui gol cascade, dan menerjemahkan tujuan perusahaan di
tingkat tinggi untuk dikelola, spesifik, tujuannya berkaitan dengan IT
dan pemetaan untuk proses dan praktik tertentu.
2. Prinsip 2:Covering the Enterprise End-to-end
COBIT 5 mengintegrasikan tata kelola perusahaan IT dalam
pemerintahan perusahaan:
a. Ini mencakup semua fungsi dan proses dalam perusahaan;
COBIT 5 tidak hanya fokus pada 'fungsi IT', tapi
memperlakukan informasi dan teknologi yang terkait sebagai
aset yang harus ditangani sama seperti aset lainnya oleh semua
orang dalam perusahaan.
b. Ini menganggap semua tata kelola dan manajemen enabler yang
berkaitan dengan IT menjadi enterprisewide dan end-to-end,
yaitu termasuk segala sesuatu dan semua orang internal dan
eksternal yang relevan dengan tata kelola dan manajemen
informasi perusahaan dan terkait IT.
3. Prinsip 3: Applying a Single, Integrated Framework
Banyaknya standar inegrasi yang berkaitan dengan IT dan praktek yang
baik, masing-masing memberikan bimbingan pada subset dari aktivitas
TI. COBIT 5 sejalan dengan standar lain yang relevan dan kerangka
kerja pada tingkat tinggi, dan dengan demikian dapat berfungsi sebagai
kerangka kerja untuk tata kelola dan manajemen TI perusahaan.
4. Prinsip 4: Enabling a Holistic Approach
Efisien dan efektif, manajemen perusahaan IT memerlukan pendekatan
holistik, dengan mempertimbangkan beberapa komponen yang saling
27
berinteraksi. COBIT 5 mendefinisikan satu set enabler untuk
mendukung pelaksanaan sistem pemerintahan dan manajemen yang
komprehensif untuk perusahaan IT. Enabler secara luas didefinisikan
sebagai sesuatu yang dapat membantu untuk mencapai tujuan
perusahaan.
5. Prinsip 5: Separating Governance From Management
COBIT 5 framework membuat perbedaan yang jelas antara tata kelola
dan manajemen. Kedua disiplin mencakup berbagai jenis kegiatan,
membutuhkan struktur organisasi yang berbeda dan melayani tujuan
yang berbeda.
1.15 Governance and Management Processes
Menurut ISACA (2013) Salah satu prinsip pembimbing dalam COBIT adalah
perbedaan yang dibuat antara tata kelola dan manajemen.
Sejalan dengan prinsip ini, setiap perusahaan akan diharapkan untuk
menerapkan sejumlah Governance Process dan sejumlah Management Process
untuk memberikan tata kelola dan manajemen perusahaan IT yang
komprehensif.Perbedaan antara jenis proses terletak dalam tujuan proses:
1. Proses Governance berhubungan dengan tujuan tata kelola dari
pemangku kepentingan, tujuan-nilai, optimasi risiko dan sumber daya
optimasi dan termasuk praktek dan kegiatan yang bertujuan untuk
mengevaluasi pilihan strategis dan memberikan arahan untuk IT dan
hasil dari pemantauan (Evaluate, direct and Monitor [EDM] sejalan
dengan ISO / IEC 38500 konsep standar).
2. Proses Manajemen sejalan dengan definisi manajemen (praktek dan
kegiatan dalam proses manajemen mencakup bidang-bidangdan
tanggungjawab perusahaan, dan mereka harus menyediakan cakupan
end-to-end dari IT.
Perbedaan area pada proses tata kelola dan manajemen dapat dilihat pada
gambar di bawah
28
ini.
Gambar 2.4Governance and Management Key Areas
Meskipun hasil dari kedua jenis proses berbeda dan audiens yang berbeda,
semua proses membutuhkan 'perencanaan', 'bangunan atau implementasi', 'eksekusi'
dan 'pemantauan' kegiatan dalam proses.
Secara teori, perusahaan yang lebih kecil mungkin memiliki proses yang
lebih sedikit dan perusahaan yang lebih besar maka memiliki banyak proses dan akan
lebih kompleks, semua itu untuk menutupi tujuan yang sama.
COBIT 5 meliputi Proces Reference Model, mendefinisikan dan menjelaskan
secara rinci sejumlah proses tata kelola dan manajemen.
Dimana COBIT 5 menyediakan Proces Reference Model yang mewakili
semua proses, biasanya COBIT 5 menawarkan model referensi umum yang dapat
dipahami operasional TI dan bisnis manajer. Model proses yang diusulkan adalah
model yang lengkap dan komprehensif, tetapi bukan satu-satunya model proses.
Setiap perusahaan harus menentukan mengumpulkan proses itu sendiri, dengan
mempertimbangkan situasi tertentu.
COBIT 5 menyediakan kerangka kerja untuk mengukur dan memantau
kinerja TI, juga berkomunikasi dengan penyedia layanan, dan mengintegrasikan
praktek manajemen terbaik.
COBIT 5 Proces Reference Model membagi proses tata kelola dan
manajemen perusahaan TI menjadi dua bidang utama kegiatan-governance dan
29
manajemen dan dibagi menjadi domain dari proses, ditunjukan pada Gambar
2.5Process for Governance of Enterprise IT.
30
Gambar 2.5Processes for Governance of Enterprise IT
31
1.16 Responsible Accountable Consulted Informed (RACI)
RACI Chart disarankan dan ditempatkan pada tingkat tanggung jawab untuk praktek
proses terhadap peran dan struktur yang berbeda. Berbagai tingkat keterlibatan adalah:
1. Responsible(R)—Who is getting the task done?Hal ini mengacu pada peran
memenuhi rancangan operasional utama dan menciptakan hasil yang diharapkan
2. Accountable(A)—Who accounts for the success of the task?Ini memberikan
pertanggungjawaban secara keseluruhan untuk menerima tugas yang dilakukan.
Untuk mengaktifkan pemberdayaan perusahaan, akuntabilitas dipecah sejauh
mungkin. Akuntabilitas tidak menunjukkan bahwa peran tidak memiliki kegiatan
operasional dan sangat mungkin bahwa peran terlibat dalam tugas. Sebagai
prinsip, akuntabilitas tidak dapat dibagi.
3. Consulted(C)—Who is providing input?Ini adalah peran utama yang memberikan
masukan. Perhatikan bahwa peran Accountable dan Responsible untuk memperoleh
informasi dari unit lain atau mitra eksternal. Namun, masukan dari peran yang
tercantum adalah untuk dipertimbangkan dan jika diperlukan. Tindakan yang tepat
harus diambil untuk eskalasi, termasuk informasi dari pemilik proses dan / atau
komite pengarah.
4. Informed(I)—Who is receiving information?Ini adalah peran yang diberitahu
tentang penghargaan dan / atau kiriman dari tugas. Peran di “Accountable”, tentu
saja, harus selalu menerima informasi yang tepat untuk mengawasi tugas, seperti
halnya peran yang bertanggung jawab untuk wilayah minat mereka.
32
1.17 Capability Model
Gambar 2.6Capability Model
Ada enam tingkat kemampuan proses yang dapat dicapai, termasuk 'proses yang tidak
lengkap' ini mengarah pada 6 tingkat penunjukan jika praktik di dalamnya tidak mencapai
tujuan dari proses:
1. 0 Incomplete process(proses tersebut tidak lengkap)
Proses tidak dilaksanakan atau gagal untuk mencapai tujuan prosesnya. Pada tingkat
ini, ada sedikit atau tidak ada bukti dari setiap pencapaian yang sistematis dari tujuan
proses.
2. 1 Performed process(one attribute)
Proses diimplementasikan mencapai tujuan prosesnya.
3. 2Managed process(two attributes)
Proses sebelumnya dijelaskan dan dilakukan sekarang dilaksanakan secara berhasil
(direncanakan, dimonitor dan disesuaikan) dan produk kerja yang tepat ditetapkan,
dikendalikan dan dipelihara.
4. 3 Established process(two attributes)
Proses sebelumnya dijelaskan berhasil sekarang diimplementasikan menggunakan
proses didefinisikan yang mampu mencapai hasil prosesnya.
33
5. 4 Predictable process(two attributes)
Proses yang ditetapkan dijelaskan sebelumnya sekarang beroperasi dalam batas-batas
yang ditetapkan untuk mencapai hasil prosesnya.
6. 5 Optimising process(two attributes)
Dijelaskan sebelumnya proses diprediksi terus ditingkatkan untuk memenuhi tujuan
bisnis saat ini dan proyeksi yang relevan.
1.18 Process Capability Indicators
Bagian ini menyajikan indikator kemampuan proses yang terkait dengan atribut
proses (PA) terkait dengan tingkat kemampuan 1 sampai 5 yang didefinisikan dalam dimensi
kemampuan model penilaian proses. Indikator kemampuan proses adalah sarana untuk
mencapai kemampuan ditangani oleh atribut proses. Bukti indikator kemampuan proses
mendukung penilaian dari tingkat pencapaian atribut proses.
Dimensi kemampuan model penilaian proses terdiri dari enam tingkat kemampuan
yang sesuai dengan tingkat kemampuan yang didefinisikan dalam proses model penilaian ini.
Bagian ini menjelaskan indikator kemampuan proses untuk sembilan atribut proses yang
termasuk dalam dimensi kemampuan dari tingkat 1 sampai 5.
Level 0 tidak termasuk jenis indikator. Level 0 mencerminkan proses atau proses yang
gagal, bahkan sebagian, untuk mencapai hasil yang non-dilaksanakan.
1.18.1 Level 0 – Incomplete Process
Pada level ini proses tidak diterapkan atau gagal untuk mencapai tujan
prosesnya. Pada tingkat ini bukti yang sedikit atau tidak ada dari setiap pencapaian
sistematis tujuan proses.
1.18.2 Level 1 – Performed Processs
PA 1.1 Process Performance
Sebuah pengukuran mengenai pencapaian tujuan dari suatu proses yang
berhasil dicapai dan terdapat bukti yang dapat dipertanggungjawabkan.
Gambar 2.7Process Performance
34
1.18.3 Level 2 – Managed Process
PA 2.1 Performance Management
Sebuah pengukuran mengenai pengelolaan proses kinerja. Pada manajemen
kinerja memiliki indikator, yaitu:
a. Tujuan dari kinerja proses diidentifikasi.
b. Kinerja proses direncanakan dan dimonitor.
c. Kinerja proses disesuaikan untuk memenuhi rencana.
d. Tanggung jawab dan wewenang untuk melakukan proses didefinisikan,
ditugaskan dan dikomunikasikan.
e. Sumber daya dan informasi yang diperlukan untuk melakukan proses
diidentifikasi, dibuat tersedia, dialokasikan dan digunakan.
f. Bertemu antarmuka dengan pihak-pihak yang terlibat dan dikelola untuk
memastikan komunikasi yang efektif dan kejelasan penugasan tanggung
jawab.
35
Gambar 2.8Performance Management
PA 2.2 Work Product Management
Sebuah pengukuran sejauh mana hasil kerja yang dihasilkan dari proses yang
dikelola dengan tepat. Pada manajemen hasil kerja memiliki indikator, yaitu:
a. Persyaratan dari proses yang digunakan untuk menghasilkan produk.
b. Persyaratan untuk dokumentasi dan kontrol dari produk kerja.
c. Produk kerja secara tepat diidentifikasi, didokumentasikan dan dikendalikan.
d. Produk kerja ditinjau sesuai dengan pengaturan yang direncanakan dan
disesuaikan yang diperlukan untuk memenuhi persyaratan.
36
Gambar 2.9Work Product Management
1.18.4 Level 3 – Established Process
PA 3.1 Process Definition
Sebuah pengukuran sejauh mana proses standar dikelola untuk mendukung
proses yang telah didefinisikan. Proses definisi memiliki indikator, yaitu
a. Sebuah proses standar, termasuk pedoman yang dilakukan sesuai dengan yang
didefinisikan dan menggambarkan unsur-unsur mendasar yang harus
dimasukkan ke dalam sebuah proses.
b. Ditentukan urutan dan interaksi dari proses standar dengan proses lainnya.
c. Dibutuhkan kompetensi dan peran untuk melakukan prosesmerupakan bagian
dari proses standar.
d. Dibutuhkan infrastruktur dan lingkungan kerja untuk melakukan pendefinisian
proses merupakan bagian dari proses standar.
e. metode yang sesuai untuk memantau efektivitas dan kesesuaian dari proses
yang telah ditetapkan.
37
Gambar 2.10Process Definition
PA 3.2 Process Deployment
Sebuah pengukuran sejauh mana proses standar secara efektif digunakan sesuai
dengan proses yang telah didefinisikan untuk mencapai hasil prosesnya. Proses
deployment memiliki indikator, yaitu:
a. Sebuah proses yang didefinisikan dan ditempatkan berdasarkanpemilihan yang
tepat dan penyesuaian proses standar
b. Melakukan proses agar dapat didefinisikan, ditugaskan dan dikomunikasikan
merupakan peran, tanggung jawab dan wewenang yang diperlukan
c. Personel yang melaksanakan proses dapat didefinisikan kompeten atas dasar
pendidikan, pelatihan dan pengalaman.
d. Sumber daya dan informasi yang diperlukan untuk melakukan proses
pendefinisikan yang dibuat tersedia, dialokasikan dan digunakan.
38
e. Diperlukan infrastruktur dan lingkungan kerja untuk melakukan proses
pendefinisikan yang dibuat tersedia, dikelola dan dipelihara.
f. Data yang sesuai dikumpulkan dan dianalisis sebagai dasar untuk memahami
peran dari proses, untuk menunjukkan kesesuaian dan efektivitas, serta
mengevaluasi perbaikan terus-menerus dari proses dapat dibuat.
Catatan: Hasil Kompetensi dari kombinasi pengetahuan, keterampilan dan atribut pribadi
yang diperoleh melalui pendidikan, pelatihan dan pengalaman.
Gambar 2.11Process Deployment
1.18.5 Level 4 – Predictable Process
PA 4.1 Process Measurement
39
Sebuah pengukuran sejauh mana hasil pengukuran yang digunakan untuk
memastikan bahwa kinerja proses mendukung pencapaian tujuan proses dan tujuan
organisasi. Proses pengukuran memiliki indikator, yaitu:
a. Proses Informasi membutuhkan dukungan yang relavan dari tujuan bisnis
yang ditetapkan.
b. Tujuan proses pengukuran yang berasal dari kebutuhan proses informasi.
c. Tujuan kuantitatif untuk kinerja proses dalam mendukung tujuan relevan
bisnis yang ditetapkan.
d. Langkah-langkah dan frekuensi pengukuran diidentifikasi dan ditetapkan
sesuai dengan tujuan pengukuran proses dan tujuan kuantitatif untuk kinerja
proses.
e. Hasil pengukuran dikumpulkan, dianalisis dan dilaporkan untuk memantau
sejauh mana tujuan kuantitatif dapat terpenuhi.
f. Hasil pengukuran yang digunakan untuk menggambarkan kinerja proses.
Catatan: Informasi kebutuhan biasanya dapat mencerminkan manajemen, teknis,
proyek, proses atau produk kebutuhan.
40
Gambar 2.12Process Measurement
PA 4.2 Process Control
Sebuah pengukuran sejauh mana proses secara kuantitatif dapat berhasil
menghasilkan sebuah proses yang stabil, mampu dan dapat diprediksi dalam batas-
batas yang ditentukan. Prorses kontrol memiliki indikator, yaitu:
a. Analisis dan kontrol teknik ditentukan, diterapkan di
berlakukan.
b. Batas kontrol variasi dibentuk untuk proses kinerja
normal.
c. Data pengukuran dianalisis untuk penyebab perbedaan
khusus.
41
d. Tindakan korektif yang diambil untuk mengatasi
penyebab perbedaan khusus.
e. Batas kontrol yang kembali didirikan (jika diperlukan)
dengan adanya tindakan korektif.
Gambar 2.13Process Control
1.18.6 Level 5 – Optimising Process
PA 5.1 Process Innovation
Sebuah pengukuran mengenai perubahan proses yang telah diidentifikasi dari
analisis penyebab umum variasi di dalam performa, dan dari investigasi pendekatan
inovatif untuk melaksanakan proses. Proses inovasi memiliki indikator, yaitu:
a. Tujuan perbaikan proses untuk proses yang didefinisikan yang mendukung
tujuan bisnis yang relevan.
b. Data yang sesuai dianalisis untuk mengidentifikasi penyebab umum dari
perbedaan dalam kinerja proses.
c. Data yang sesuai dianalisis untuk mengidentifikasi peluang untuk praktik
terbaik dan inovasi.
d. Peluang perbaikan yang berasal dari teknologi baru dan konsep prosesnya
telah diidentifikasi.
42
e. Strategi implementasi didirikan untuk mencapai tujuan perbaikan proses.
Gambar 2.14Process Innovation
PA 5.2 Process Optimisation
Sebuah pengukuran mengenai perubahan untuk definisi, manajemen dan
performa proses agar memiliki hasil yang efektif untuk mencapai tujuan dari proses
peningkatan. Proses optimisasi memiliki indikator, yaitu:
a. Dampak dari semua perubahan yang diusulkan dinilai terhadap tujuan dari
proses yang telah didefinisikan dan proses standar.
b. Implementasi dari semua perubahan disetujui dan dikelola untuk memastikan
bahwa setiap gangguan terhadap kinerja proses dapat dipahami dan dapat
ditindaklanjuti.
c. Berdasarkan kinerja aktual, efektivitas perubahan proses dievaluasi terhadap
persyaratan produk ditetapkan dan tujuan proses untuk menentukan apakah
hasil adalah karena penyebab umum atau khusus.
43
Gambar 2.15Process Optimisation
1.19 Process Performance Indicators
Process performance indicators ini dapat digunakan untuk menilai proses yang
mencapai kapabilitas pada tingkat 1, skala yang digunakan dalam bentuk persentase yang
dapat dilihat pada table berikut:
Tabel 2.7Process Performance Indicator
Katagori Persentase Keterangan
N (not achieved) 0 – 15 % Bukti atas pencapaian atribut proses tidak
ada atau hanya memiliki bukti yang sedikit
P (partially achieved) >15 – 50 % Terdapat beberapa bukti mengenai
pendekatan, dan beberapa pencapaian atribut
atas proses tersebut
L (largely achieved) >50 % - 85 % Terdapat bukti atas pendekatan sistematis
dan oencapaian yang signifikan atas proses
tersebut, meski masih ada kemungkinan
kelemahan yang tidak signifikan
F (fully achieved) >85 % - 100 % Terdapat bukti pendekatan sistematis dan
lengkap dalam pencapaian penuh atas atribut
proses tersebut. Tidak adanya kelemahan
yang signifikan dari proses tersebut
44
1.20 Monitor, Evaluate and Assess (MEA)
MEA memiliki 3 proses yaitu:
1. Monitor, evaluate and assess performance and conformance
Dalam MEA01 ini digunakan untuk mengumpulkan, memvalidasi dan
mengevaluasi bisnis, IT dan tujuan proses dan metrik. Memantau bahwa
proses yang sedang dijalankan telah disepakati pada kinerja dan kesesuaian
tujuan dan metrik dan memberikan pelaporan yang sistematis dan tepat waktu.
Tujuannya memberikan transparansi kinerja dan kesesuaian dan prestasi drive
tujuan.
Tabel 2.8 MEA 01
No. MEA 01 Keterangan
MEA01-01 Tujuan dan metrik disetujui oleh para
pemangku kepentingan.
MEA01-02 Proses diukur terhadap tujuan dan
metrik yang disepakati.
MEA01-03 Perusahaan memantau, menilai dan
menginformasikan pendekatan efektif
dan operasional.
MEA01-04 Tujuan dan metrik yang terintegrasi
dalam sistem pemantauan perusahaan.
MEA01-05 Proses pelaporan kinerja dan
kesesuaian berguna dan tepat waktu.
2. Monitor, evaluate and assess the system of internal control
Memantau dan mengevaluasi lingkungan pengendalian secara terus menerus,
termasuk penilaian dan ulasan jaminanterhadap diri sendiri/perusahaannya
sendiri.Memungkinkan manajemen untuk mengidentifikasi kekurangan
kontrol dan inefisiensi dan untuk memulai tindakan perbaikan, rencana,
mengatur dan mempertahankan standar untuk kegiatan penilaian pengendalian
dan jaminan internal.
Tujuannya untuk mendapatkan transparansi bagi para pemangku kepentingan/
orang yang memiliki kuasa pada kecukupan sistem pengendalian internal
45
dengan demikian memberikan kepercayaan dalam operasi, kepercayaan dalam
pencapaian tujuan perusahaan dan pemahaman yang memadai tentang risiko
residual.
Tabel 2.9 MEA02
No. MEA02 Keterangan
MEA02-01 Proses, sumber daya dan infromasi
memenuhi kebutuhan sistem pengendalian
dalam perusahaan
MEA02-02 Semua jaminan direncanakan dan
dilaksanakan secara efektif.
MEA02-03 Menyediakan jaminan bebas terhadap
operasional pengendalian internal
MEA02-04 Kekurangan pengendalian internal
diidentifikasi dan dilaporkan
3. Monitor, evaluate and assess compliance with external requirements
Mengevaluasi proses TI dan TI yang mendukung proses bisnis dan telah sesuai
dengan undang-undang, peraturan dan persyaratan kontrak. Mendapatkan
jaminan bahwa persyaratan telah diidentifikasi dan dipenuhi, dan
mengintegrasikan kepatuhan IT dengan kepatuhan perusahaan secara
keseluruhan.
Tujuannya untuk memastikan bahwa perusahaan sesuai dengan semua
persyaratan eksternal yang berlaku.
Tabel 2.10 MEA03
No. MEA03 Keterangan MEA03-01 Semua persyaratan kepatuhan eksternal
diidentifikasi.
MEA03-02 Persyaratan kepatuhan eksternal memadai.