bab landasan teori 2.1 pengertian datalibrary.binus.ac.id/ecolls/ethesisdoc/bab2/rs1... · 2.1...
TRANSCRIPT
-
1
BAB 2
LANDASAN TEORI
2.1 Pengertian Data
Turner dan Weickgenannt (2013: 542) mendefinisikan data sebagai kumpulan
fakta-fakta dari transaksi-transaksi. O'Brien dan Marakas (2013: 683)
mendeskripsikan data sebagai fakta-fakta atau observasi mengenai fenomena fisik
atau transaksi bisnis. Rainer, Prince & Cegielski (2015: 11) mengatakan bahwa data
merujuk pada deskripsi hal-hal mendasar, kejadian, kegiatan, dan transaksi yang
dicatat, dikelompokkan, dan disimpan namun tidak terorganisir untuk menyampaikan
suatu makna apapun. Hall (2016: 10) mengatakan data merupakan fakta-fakta yang
mungkin sudah diproses atau mungkin belum diproses (diedit, diringkas, atau
diperhalus) dan tidak memiliki efek langsung kepada tindakan pengguna.
Dapat disimpulkan bahwa data adalah fakta-fakta dan deskripsi hal-hal
mendasar dari kejadian, transaksi, dan kegiatan yang disimpan dan tidak memiliki
makna kepada pengguna.
2.2 Pengertian Informasi
Menurut O’Brien & Marakas (2013: 32), informasi dapat didefinisikan
sebagai data yang telah diubah kedalam konteks yang memiliki arti dan berguna
untuk para pengguna informasi. Menurut Rainer, Prince & Cegielski (2015: 385)
mengatakan bahwa informasi merupakan data yang telah diorganisir sehingga
memiliki arti dan nilai kepada penggunanya. Menurut Hall (2016: 10), informasi
menjadi pemicu pengguna untuk mengambil suatu tindakan yang mendukung dalam
tugas harian bisnis, penyelesaian masalah, dan perencanaan untuk masa depan.
Dari pernyataan para ahli di atas maka dapat disimpulkan bahwa informasi
merupakan data yang telah diolah sehingga memiliki arti dan dapat digunakan untuk
mengambil tindakan.
-
2.3 Pengertian Sistem
Menurut O’Brien & Marakas (2012: 29) menyatakan bahwa yang dimaksud
dengan sistem adalah sekumpulan komponen yang saling berkaitan satu sama lain,
yang memiliki batasan–batasan tertentu yang jelas. Sistem dapat saling bekerja sama
dalam mencapai tujuan, dengan cara menerima input dan menghasilkan output dalam
suatu proses yang terorganisir. Hall (2013: 782) mendefinisikan sistem sebagai, suatu
kelompok yang terdiri dari dua atau lebih komponen atau subsistem yang saling
berhubungan satu sama lain yang memiliki tujuan tertentu. Sistem adalah sebuah
kumpulan komponen-komponen yang berhubungan dan bekerja sama untuk
mencapai suatu tujuan (Brown et al 2012, p. 330).
Kesimpulannya, sistem adalah sekelompok komponen yang berkaitan, yang
memiliki tujuan tertentu, memiliki batasan tertentu, menerima input, dan
menghasilkan output dalam proses yang terorganisir.
2.4 Pengertian Sistem Informasi
Sistem informasi merupakan perangkat elemen atau komponen yang terkait
satu sama lain, yang mengumpulkan, mengolah, menyimpan dan menyebarkan data
dan informasi, serta mampu memberikan feedback untuk memenuhi tujuan suatu
organisasi (Stair & Reynolds, 2010).
Menurut Laudon dan Laudon (2010) sistem informasi adalah komponen yang
saling bekerja untuk mengumpulkan, mengolah, menyimpan dan menyebarkan
informasi untuk mendukung kegiatan suatu organisasi, seperti pengambilan
keputusan, koordinasi, pengendalian, analisis masalah, dan juga visualisasi dari
organisasi.
Sistem Informasi menurut Hall (2016: 5) adalah seperangkat prosedur yang
tersusun secara formal dimana data-data dikumpulkan, disimpan, diproses menjadi
informasi, dan didistribusikan kepada para pengguna sistem informasi tersebut.
Menurut (Brown et al, 2012, p. 330) sistem informasi dapat didefinisikan
sebagai sebuah kumpulan dari teknologi informasi, prosedur, dan orang orang yang
bertanggung jawab dalam menangkap, memindahkan, mengatur, dan menyebarkan
data serta informasi.
Dari beberapa pengertian sistem informasi diatas, maka dapat disimpulkan
bahwa sistem informasi merupakan komponen-komponen berupa data yang
-
terintegrasi dan memiliki prosedur dengan tujuan tertentu untuk menampilkan
informasi yang bermanfaat bagi para penggunanya.
2.5 Pengertian Teknologi Informasi
Menurut Rainer, Prince dan Cegielski (2015: 6), teknologi informasi terkait
dengan semua alat berbasis komputer yang digunakan untuk bekerja dengan
informasi, mendukung informasi, dan pemrosesan informasi kebutuhan organisasi.
Menurut Turner & Weickgenannt (2013: 8), teknologi informasi didefinisikan
sebagai komputer-komputer, peralatan tambahan, perangkat lunak, layanan-layanan,
dan sumber daya terkait yang diterapkan untuk mendukung proses bisnis.
Dari pendapat diatas, dapat disimpulkan bahwa teknologi informasi
merupakan komputer, peralatan, perangkat lunak, layanan, dan sumber daya terkait
untuk mendukung proses bisnis, dan mengumpulkan serta memproses informasi.
2.6 Pengertian IT Governance
ISACA (2012) mendefinisikan IT Governance “as a Structure of
relationships and processes to direct and control the enterprise in order to achieve
the enterprise’s goals by value while balancing risk versus return over IT and its
processes”.
Menurut Weill & Ross (2004, p.14) Good IT Governance adalah keputusan
harmonisasi tentang pengelolaan dan penggunaan IT dengan perilaku yang
diinginkan dan tujuan bisnis. Tanpa struktur pemerintahan yang dirancang dan
dilaksanakan dengan teliti, perusahaan akan meninggalkan keselarasan untuk
kesempatan.
Menurut Turner (2013, p. 21) tata kelola adalah sebuah kepemimpinan,
struktur organisasi dan proses yang memastikan bahwa perusahaan akan mencapai
tujuannya dengan meningkatkan nilai yang menyeimbangkan risiko yang disesuaikan
kembali dengan TI dan prosesnya.
Dari hasil pengertian IT Governance diatas maka dapat disimpulkan bahwa
IT Governance adalah suatu komitmen, proses pengendalian manajemen organisasi
terhadap sumber daya TI yang memiliki nilai investasi yang sesuai dengan tujuan
bisnis perusahaan tersebut.
-
2.7 Kerangka Kerja COBIT 5
Menurut ISACA (2012: 15), COBIT 5 merupakan panduan ISACA yang
membahas mengenai tata kelola dan manajemen TI dan semua yang berhubungan,
yang dimulai dari memenuhi kebutuhan para stakeholder akan informasi dan
teknologi.
COBIT 5 menyediakan kerangka kerja yang mudah dipahami dan mampu
membantu perusahaan dalam mencapai tujuan tata kelola dan manajemen TI. COBIT
5 dapat membantu perusahaan untuk menciptakan nilai secara optimal melalui TI
dengan menjaga keseimbangan antara pemberian manfaat dan mengoptimalisasi
tingkat risiko dan penggunaan sumber daya. COBIT 5 memiliki 2 (dua) area utama
yaitu area tata kelola (governance) dan manajemen (management). Pengaturan tata
kelola mengatur terkait hal-hal yang ditentukan melalui pendefinisian strategi dan
kontrol. Sedangkan pengelolaan (manajemen) mengatur terkait bagaimana tata kelola
tersebut dari pengelolaan yang ditentukan melalui rencana. COBIT 5 juga dapat
digunakan oleh segala bentuk perusahaan, baik yang bersifat komersial, non-profit,
ataupun perusahaan sektor publik.
2.7.1 Prinsip-prinsip COBIT 5
Dalam melaksanakan evaluasi tata kelola TI dibutuhkan prinsip-
prinsip yang dapat mendukung jalannya evaluasi dengan baik. Begitu pula
dengan COBIT 5 yang telah menjabarkan prinsip-prinsip yang diperlukan
dalam menjalankan evaluasi menggunakan kerangka kerja ini yang
diterangkan dalam gambar 2.1.
Gambar 2. 1 Prinsip-prinsip COBIT 5
-
COBIT 5 memiliki 5 prinsip untuk tata kelola dan manajemen
perusahan TI yaitu:
1. Meeting Stakeholder Needs
Pada prinsip ini COBIT 5 menyediakan semua proses yang diperlukan
dan juga enablers guna mendukung pembentukan nilai bisnis melalui
kegunaan TI. Tujuan dari COBIT 5 adalah menerjemahkan kebutuhan
para pemangku kepentingan (stakeholder) menjadi tujuan yang
spesifik dan disesuaikan dengan konteks organisasi serta tujuan dan
sasaran organisasi.
2. Covering the Enterprise End-to-end
Pada prinsip ini COBIT 5 menyarankan mengintegrasikan tata kelola
TI dengan tata kelola organisasi. COBIT 5 tidak hanya fokus pada
pengelolaan fungsi TI tapi juga menganggap teknologi informasi
sebagai sebuah aset yang harus dilindungi.
3. Applying a Single, Integrated Framework
Pada prinsip ini menjelaskan bahwa COBIT 5 berhubungan dengan
standard relevan dan kerangka kerja high level lainnya, dan yang
mampu menyajikan keseluruhan kerangka kerja untuk tata kelola dan
manajemen TI. memberikan deskripsi grafis mengenai bagaimana
COBIT 5 mencapai perannya dalam meluruskan dan mengintegrasi
kerangka kerja.
4. Enabling a Holistic Approach
Pada prinsip ini menjelaskan bahwa COBIT 5 mendefinisikan
sekumpulan enablers untuk mendukung implementasi dari sistem tata
kelola dan manajemen yang menyeluruh pada perusahaan. Enablers
secara luas dapat dijelaskan sebagai segala sesuatu yang dapat
membantu pencapaian tujuan perusahaan.
5. Separating Governance from Management
Pada prinsip ini menjelaskan bahwa Kerangka kerja COBIT 5
membuat perbedaan yang jelas antara governance dan manajemen.
Kedua hal ini mengarah kepada perbedaan tipe aktivitas, perbedaan
struktur organisasi dan menyediakan tujuan yang berbeda. Pandangan
COBIT 5 terhadap perbedaan antara governance dan manajemen yaitu
governance memastikan bahwa kebutuhan stakeholder, kondisi dan
-
opsi telah dievaluasi untuk memastikan keseimbangan, pencapaian
tujuan perusahaan; memberikan arahan melalui prioritas dan decision
making; dan mengawasi kinerja dan kepatuhan terhadap arahan dan
tujuan yang telah disetujui.
2.7.2 Tujuan dari COBIT 5
COBIT 5 membantu perusahaan dalam membentuk nilai optimal
melalui teknologi informasi (TI) dengan menjaga keseimbangan antara
mewujudkan manfaat dan mengoptimalkan tingkat risiko dan penggunaan
sumber daya. Kerangka kerja ini ditujukan untuk area fungsional bisnis
maupun TI dalam suatu organisasi dan mempertimbangkan kepentingan
internal maupun eksternal teknologi informasi para stakeholder.
COBIT 5 menyediakan kerangka kerja yang lengkap dan mampu
membantu perusahaan dalam mencapai tujuan-tujuannya dalam tata kelola
dan manajemen TI perusahaan. COBIT 5 kerangka kerja utama yang dibuat
oleh dan untuk para praktisi dan termasuk didalamnya pandangan dari TI
dan literatur umum manajemen, termasuk konsep dan model seperti
strategic alignment, balance scorecard, pemahaman TI dan sistem
organisasi (De Haes, Van Grembergen, & Debreceny, 2013)
COBIT 5 implementation guide (ISACA, 2012) mendeskripsikan
faktor kesuksesan terhadap keberhasilan implementasi, yaitu:
1. Para manajemen tingkat atas menyediakan arahan dan amanat
terhadap inisiasi, dengan melakukan komitmen dan dukungan
yang nyata.
2. Semua bagian mendukung proses tata kelola dan manajemen
untuk memahami tujuan bisnis dan TI.
3. Memastikan bahwa terdapat komunikasi dan pemberdayaan yang
efektif terhadap keperluan perubahan.
4. Menyesuaikan COBIT dan good practice dan standard pendukung
lainnya agar sesuai dengan konteks unik dari perusahaan.
5. Berfokus pada kemenangan dengan cepat dan memprioritaskan
perbaikan yang paling bermanfaat yang paling mudah
diimplementasi.
-
2.7.3 7 Enablers
Enablers adalah sekumpulan faktor yang mempengaruhi sesuatu yang
akan dikerjakan oleh organisasi. COBIT 5 memiliki 7 kategori enablers,
yaitu:
1. Principles, Policies and Frameworks: Sarana untuk menerjemahkan
perilaku yang diinginkan ke dalam pedoman yang praktis untuk
kegiatan manajemen sehari-hari.
2. Processes: Menggambarkan kumpulan kegiatan dan aktivitas dari
organisasi untuk mencapai tujuan tertentu dan menghasilkan output
untuk mendukung pencapaian tujuan yang tentunya berkaitan dengan
TI.
3. Organizational Structure: Struktur organisasi adalah kunci entitas
pengambilan keputusan dalam sebuah perusahaan.
4. Culture, Ethics and Behaviour: Budaya, etika dan perilaku individu
dan perusahaan dalam kesehariannya serta cara menanggapi dan
membuat keputusan terhadap suatu hal.
5. Information: Informasi dapat menyebar keseluruh organisasi, dan
informasi yang dihasilkan akan digunakan oleh perusahaan.
6. Service, Infrastructure, and Applications: 3 hal yang menyediakan
sesuatu untuk perusahaan dengan pengolahan dan jasa teknologi
informasi.
7. People, Skills and Competencies: Orang, skills dan kompetensi
diperlukan untuk menyelesaikan semua kegiatan dan untuk membuat
keputusan yang benar dan mengambil tindakan korektif.
2.7.4 COBIT 5 Process Reference Model
COBIT 5 termasuk didalamnya yaitu process reference model, yang
menggambarkan dan mendeskripsikan detail dari beberapa proses tata
kelola dan manajemen. Hal tersebut mewakili seluruh proses yang biasanya
ditemukan di dalam yang berhubungan dengan aktivitas TI.
-
Gambar 2. 2 COBIT 5 Process Reference Model
Gambar diatas merupakan beberapa komponen control objectives
dalam melakukan penilaian yang terdapat pada COBIT 5, dapat dilihat
dengan jelas bahwa setiap poin kriteria penilaian tersebut memiliki
domainnya masing-masing dan process reference model terbagi dalam dua
jenis area yaitu governance dan management process dari enterprise IT
yang terdiri dari 37 proses. Pada saat melakukan control objective untuk
melakukan penilaian, hal ini didasari dari hasil pengumpulan data awal
sehingga dapat menentukan hal kritis pada perusahaan apa saja yang harus
dinilai.
Domain 1: Evaluate, Direct and Monitor (EDM)
EDM adalah proses tata kelola yang berhubungan dengan
stakeholders yang terdiri dari pengiriman tujuan, nilai, optimalisasi risiko
dan sumber daya. Beberapa proses pada domain EDM yaitu:
● EDM01 Evaluate governance framework setting and maintenance
● EDM02 Ensure benefits delivery
● EDM03 Ensure risk optimization
● EDM04 Ensure resource optimization
● EDM05 Ensure stakeholder transparency
-
Domain 2: Align, Plan and Organise (APO)
APO mencakup strategi untuk merencanakan dan meluruskan tujuan
TI dengan tujuan organisasi. Proses-proses yang ada pada domain APO
adalah:
● APO01 Manage the IT management framework
● APO02 Manage strategy
● APO03 Manage enterprise architecture
● APO04 Manage innovation
● APO05 Manage portfolio
● APO06 Manage budget and costs
● APO07 Manage human resources
● APO08 Manage relationships
● APO09 Manage service agreements
● APO10 Manage supplier
● APO11 Manage quality
● APO12 Manage risk
● APO13 Manage security
Domain 3: Build, Acquire, and Implement (BAI)
BAI mengidentifikasi solusi TI yang perlu dikembangkan, diperoleh,
diterapkan dan diintegrasikan ke dalam proses bisnis. Proses dalam domain
BAI adalah sebagai berikut:
● BAI01 Manage programmes and projects
● BAI02 Manage requirements definition
● BAI03 Manage solutions identification and build
● BAI04 Manage availability and capacity
● BAI05 Manage organizational change enablement
● BAI06 Manage changes
● BAI07 Manage change acceptance and transitioning
● BAI08 Manage knowledge
● BAI09 Manage assets
● BAI10 Manage configuration
-
Domain 4: Deliver, Service and Support (DSS)
DSS adalah domain yang meliputi pelayanan, pengelolaan keamanan
dan kelangsungan, dukungan layanan bagi pengguna, manajemen data dan
fasilitas operasional. Beberapa proses pada domain DSS yaitu:
● DSS01 Manage operations
● DSS02 Manage service requests and incidents
● DSS03 Manage problems
● DSS04 Manage continuity
● DSS05 Manage security services
● DSS06 Manage business process controls
Domain 5: Monitor, Evaluate, Assess (MEA)
MEA adalah kegiatan pemantauan pengendalian internal, kepatuhan
terhadap peraturan dan tata kelola. Beberapa proses pada domain MEA
yaitu:
● MEA01 Monitor, evaluate, assess performance & conformance
● MEA02 Monitor, evaluate & assess the system & internal control
● MEA03 Monitor, evaluate & assess compliance with external
requirements
2.7.5 Metode Penerapan Tata Kelola Informasi COBIT 5
Penerapan tata kelola TI menggunakan COBIT 5 memiliki metode
yang dibagi-bagi menjadi tahapan-tahapan yang perlu dilalui saat melakukan
evaluasi. Evaluasi dilakukan secara iteratif sehingga ketika tahap terakhir
selesai dilakukan maka kembali lagi ke tahapan yang pertama, seperti yang
dipaparkan pada gambar 2.3.
-
Gambar 2. 3 COBIT 5 Implementation
1) Tahap 1: Initiate programme
Pada tahap ini dilakukan tentang apa penggerak organisasi dan
sebagai identifikasi pendorong perubahan saat ini. Tujuannya untuk
memperoleh pemahaman tentang organisasi, struktur organisasi yang
terdiri dari tujuan, tugas dan wewenang, pendekatan pengelolaan
organisasi saat ini dan konsep program organisasi.
2) Tahap 2: Define problems and opportunities
Pada tahap ini dilakukan tentang posisi organisasi saat ini yang
berhubungan dengan TI. Manajemen perlu mengetahui kemampuan
saat ini dan dimana kekurangan organisasi. Hal ini telah melakukan
pencapaian dengan penilaian kemampuan proses terhadap status
proses yang dipilih.
3) Tahap 3: Define roadmap
Pada tahap ini dilakukan pendefinisian target untuk perbaikan
yang akan dilakukan organisasi dan analisis gap untuk
mengidentifikasi solusi potensial. Tujuannya adalah menetapkan
target kemampuan pada proses yang dipilih.
4) Tahap 4: Plan Programme
-
Pada tahap ini dilakukan tentang apa yang harus dilakukan
organisasi yang bertujuan melakukan solusi perbaikan dan
rekomendasi. Tujuan tahap ini adalah menerjemahkan kesempatan
untuk melakukan perbaikan terhadap proses yang dipilih.
5) Tahap 5: Execute Plan
Pada tahap ini menjelaskan tentang pelaksanaan solusi yang
diusulkan ke dalam praktek kegiatan yang dilakukan pada organisasi
dan dilakukan pemantauan terhadap keselarasan yang dicapai dengan
pengukuran kinerja.
6) Tahap 6: Release Benefits
Pada tahap ini menjelaskan tentang transisi berkelanjutan yang
dilakukan dari perbaikan tata kelola teknologi informasi pada
organisasi.
7) Tahap 7: Review Effectiveness
Tahap ini mengevaluasi setiap pencapaian hasil perbaikan
kesuksesan pada organisasi dan identifikasi tata kelola untuk
meningkatkan kebutuhan untuk perbaikan terus-menerus.
2.7.6 COBIT 5 Process Assessment Model (PAM)
Process Assessment Model (PAM) adalah model dua dimensi yang
terdiri dari dimensi kapabilitas dan dimensi proses. PAM digunakan sebagai
dasar untuk penilaian kemampuan proses organisasi (ISACA, 2012). Untuk
melakukan Assessment menggunakan COBIT 5 ini perlu adanya nilai proses
atribut untuk Capability level Tata Kelola TI yang memiliki skala nilai 0
sampai dengan 5, sebagai berikut:
-
Tabel 2. 1 COBIT 5 Process Assessment Model (PAM)
Capability
Level
Level Name Keterangan
0 Incomplete
Process
Proses tidak dilaksanakan atau gagal untuk mencapai
tujuan prosesnya. Pada tingkat ini, ada sedikit atau tidak
ada bukti dari setiap pencapaian yang sistematis dari
tujuan proses.
1 Performed
Process
Proses diimplementasikan mencapai tujuan prosesnya.
2 Managed
Process
Proses dilaksanakan secara berhasil (direncanakan,
dimonitor dan disesuaikan) dan produk kerja yang tepat
ditetapkan, dikendalikan dan dipelihara.
3 Established
Process
Organisasi telah memiliki standar prosedur operasional
dan terdokumentasi dengan baik, serta telah melakukan
sosialisasi secara formal atas seluruh proses TI yang
berjalan
4 Predictable
Process
Organisasi melakukan pengawasan dan memastikan
proses telah berjalan sesuai prosedur dan kebijakan yang
berlaku.
5 Optimizing
Process
Proses-proses TI yang berjalan telah mencapai tingkatan
good practice. Hal ini dapat dinilai dari keselarasan
proses-proses TI dengan perubahan atau perkembangan
TI serta bisnis organisasi. Seluruh proses TI telah
terintegrasi dan memiliki proses yang telah terotomasi.
Proses TI tersebut juga digunakan untuk menilai kualitas
dan efektivitas proses TI secara menyeluruh.
-
Proses-proses tersebut terbagi lagi menjadi beberapa atribut menurut
levelnya dan memiliki beberapa dimensi sesuai dengan domain-domain yang
ada dalam COBIT 5 seperti yang dijelaskan pada gambar 2.5.
Gambar 2. 4 COBIT 5 Process Assessment Model (PAM)
ISO / IEC 15504-2 mengidentifikasi persyaratan minimum untuk
melakukan penilaian yang menjamin konsistensi dan pengulangan penilaian.
Persyaratan tersebut membantu memastikan bahwa hasil penilaian konsisten
dan menyediakan bukti untuk memperkuat peringkat dan untuk
memverifikasi kepatuhan dengan persyaratan.
Menurut ISO / IEC 15504 dalam penilaian kapabilitas proses ini
mengatasi berbagai kekhawatiran yang jauh lebih luas daripada yang
dijelaskan dalam atribut proses COBIT. Beberapa hasil pencapaian atribut
proses ISO / IEC 15504 sangat sesuai dengan masalah yang diidentifikasi
dalam deskripsi perilaku atribut proses COBIT. Atribut proses COBIT
meliputi:
-
1. Responsibility and accountability.
2. Awareness and communication.
3. Policies, plans and procedures.
4. Tools and automation.
5. Skills and expertise.
6. Goal setting and measurement.
Menurut ISACA (2011:7), COBIT 5 PAM dibuat berdasarkan COBIT
4.1 dan International Organization for Standardization (ISO) / International
Electrotechnical Commission (IEC) 15504. Indikator kapabilitas proses
adalah nilai dari kemampuan proses dalam meraih tingkat kapabilitas yang
ditentukan yang mana ditentukan oleh atribut proses. Bukti atas indikator
kapabilitas proses akan sangat penting bagi proses tata kelola IT untuk
mendukung penilaian atas pencapaian atribut proses.
Terdapat enam tingkatan dalam dimensi kapabilitas untuk penilaian
proses. Tingkat 0 tidak memiliki indikator apapun, karena tingkat 0
menyatakan proses yang belum diimplementasikan atau proses yang gagal,
untuk mencapai hasil akhirnya. Untuk mencapai level 1, perusahaan harus
mencapai capability level 1. Hal ini dilakukan karena level 1 menentukan
apakah suatu proses mencapai tujuannya, dan oleh karena itu sangat penting
di awal untuk mencapai nilai tersebut sebagai menjadi awal dalam meraih
level yang lebih tinggi.
Model ini digunakan sebagai dokumen basis untuk menjadi referensi
dalam menilai kapabilitas dan efektivitas IT organisasi. Selain itu, model ini
juga dapat digunakan untuk:
a. Mengidentifikasi kebutuhan-kebutuhan minimum untuk
melakukan penilaian (output yang dibutuhkan).
b. Mendefinisikan proses kapabilitas dalam 2 dimensi, process dan
kapabilitas.
c. Menggunakan indikator proses kapabilitas dan performa dari
proses untuk menentukan apakah atribut proses telah terpenuhi.
-
d. Mengukur performa dari proses berdasarkan urutan praktik
dasar dan aktivitas-aktivitas untuk memenuhi work product.
e. Mengukur proses kapabilitas melalui pencapaian attribut
berdasarkan bukti spesifik (level 1) dan generik (level yang
lebih tinggi) practices.’
Untuk dapat menilai capability level dari sebuah proses, maka
perusahaan perlu menilai setiap level domain menurut process attribute dari
level domain tersebut. Dalam menilai capability level dari setiap process
attribute, COBIT 5 menyediakan template penilaian untuk membantu penilai
memasukkan setiap hasil penilaian dalam perhitungan.
Template ini terbagi menurut masing-masing capability level dari 0
sampai 5, dimana setiap level memiliki process attribute yang sesuai dengan
levelnya masing-masing. Untuk hasil penilaian yang bernilai 0% hingga 15%,
maka akan dikategorikan sebagai Not Achieved (N), dan akan ditandai
dengan warna merah pada tabel. Untuk hasil penilaian yang bernilai 15%
hingga 50%, maka akan dikategorikan sebagai Partially Achieved (P), dan
akan ditandai dengan warna jingga pada tabel. Untuk hasil penilaian yang
bernilai 50% hingga 85%, maka akan dikategorikan sebagai Largely
Achieved (L), dan akan ditandai dengan warna kuning pada tabel. Untuk hasil
penilaian yang bernilai 85% hingga 100%, maka akan dikategorikan sebagai
Fully Achieved (F), dan akan ditandai dengan warna hijau pada tabel. Level
target yang ingin dicapai perusahaan akan ditandai dengan warna biru pada
garis batas tabel. Dibawah ini adalah template ringkasan capability level:
-
Tabel 2. 2 Template Capability Level
Tujuan Deskripsi Tujuan
Nama Proses Level 0 Level 1 Level 2 Level 3 Level 4 Level 5
PA 1.1 PA
2.1
PA
2.2
PA
3.1
PA
3.2
PA
4.1
PA
4.2
PA
5.1
PA
5.2
Persentase
Warna
Keterangan:
0%-15% = Not Achieved (N)
15%-50%= Partially Achieved (P)
50%-85%= Largely Achieved (L)
85%-100% = Fully Achieved (F)
Level Target Perusahaan
Pewarnaan pada tabel membantu penilai untuk mengkategorikan
setiap proses yang dinilai ke dalam pembagian menurut ISO/IEC 15504, yaitu
Not Achieved, Partially Achieved, Largely Achieved, dan Fully Achieved. Jika
level proses mencapai Fully Achieved maka proses dapat dinilai ke level
berikutnya.
Penggunaan template ini diharapkan dapat memudahkan para penilai
dalam memasukkan nilai-nilai capability level setiap proses sehingga dapat
meminimalisir juga kesalahan input yang terjadi.
-
2.8 ISO 15504
ISO (2004) mendefinisikan ISO/IEC 15504 sebagai model referensi untuk
maturity model yang terdiri dari capability level dan process attributes serta generic
practices. Dengan menggunakan model ini, penilai dapat meletakkan bukti-bukti
yang ditemukan dan dikumpulkan pada saat mereka melakukan penilaian dan
memberikan perkiraan dari kemampuan sebuah organisasi dalam menyampaikan
produk. Produk dapat berupa software, sistem, dan layanan TI.
Dimensi proses yang didefinisikan di dalam ISO/IEC 15504 terbagi menjadi
lima kategori proses yang selalu dikembangkan oleh komite ISO khususnya bagian
proses layanan TI dan proses enterprise. Pembagian lima kategori proses tersebut
adalah:
1. customer-supplier
2. engineering
3. supporting
4. management
5. organization
Dalam setiap proses, ISO/IEC 15504 mendefinisikan capability level menjadi
beberapa skala. Skala tersebut menunjukkan tingkat capability level perusahaan dan
terbagi menjadi 6 yaitu:
1. Level 5: Optimizing process
2. Level 4: Predictable process
3. Level 3: Established process
4. Level 2: Managed process
5. Level 1: Performed process
6. Level 0: Incomplete process
Setiap penilaian dari capability level dari proses diukur menggunakan process
attributes yang didefinisikan dari standar internasional dan terbagi menjadi 9 bagian
process attributes, yaitu:
1. 1.1 Process performance
2. 2.1 Performance management
3. 2.2 Work product management
4. 3.1 Process definition
5. 3.2 Process deployment
-
6. 4.1 Process measurement
7. 4.2 Process control
8. 5.1 Process innovation
9. 5.2 Process optimization
Setiap process attribute terdiri dari satu atau lebih generic practices yang
dijabarkan lebih lanjut menjadi practice indicators untuk membantu proses penilaian
capability dan performance. Setiap process attribute dinilai menggunakan skala 4
nilai dalam bentuk N-P-L-F:
1. Not achieved (0 - 15%)
2. Partially achieved (>15% - 50%)
3. Largely achieved (>50%- 85%)
4. Fully achieved (>85% - 100%)
Seluruh penilaian didasari pada bukti-bukti nyata terhadap practice indicators
yang dikumpulkan pada saat penilaian. Setiap bukti harus mencerminkan pemenuhan
atau pelaksanaan dari process attribute yang bersangkutan. Terdapat level 1 hingga
level 5 dimana setiap level memiliki persyaratan masing-masing yang harus
dipenuhi. Untuk dapat dinyatakan bahwa sebuah level kapabilitas telah terpenuhi
maka proses harus meraih kategori Fully Achieved (F) untuk dapat melanjutkan ke
level kapabilitas berikutnya.
2.9 Output pada Domain Deliver, Support, Services (DSS)
Menurut (ISACA, 2012) penilaian pemenuhan sebuah domain dapat diukur
melalui output yang dihasilkannya berikut adalah rincian output dan aktivitas yang
harus dilakukan pada domain:
2.9.1 DSS01 Manage Operations
Gambar 2.5 Output DSS01.01
Aktivitas DSS01.01:
1. Membuat dan melakukan maintenance terhadap prosedur tertulis yang
dijadikan acuan dalam menjalankan servis
-
2. Jadwal aktivitas operasional, proses eksekusi, performa, serta hasil
dari aktivitas haruslah di dokumentasikan
3. Memastikan bahwa semua data yang digunakan untuk aktivitas
diterima dan diproses secara komplit, akurat dan tepat waktu.
4. Memastikan bahwa ada standar keamanan pada proses penerimaan,
proses, penyimpanan, dan penghasilan data yang sesuai dengan tujuan
perusahaan
5. Menjadwalkan, dan mencatat log backup data yang sesuai dengan
kebijakan dan prosedur yang berlaku
Gambar 2.6 Output DSS01.02
Aktivitas DSS01.02:
1. Memastikan bahwa kebutuhan perusahaan terkait dengan keamanan
informasi ditulis dalam Service Level Agreement yang telah dibuat
dengan pihak ketiga
2. Memastikan bahwa kebutuhan operasi perusahaan maupun yang
terkait dengan teknologi informasi dilaksanakan oleh pihak ketiga
sesuai dengan kontrak atau SLA
Gambar 2.7 Output DSS01.03
Aktivitas DSS01.03:
1. Pencatatan kejadian harus dicatat berdasarkan pertimbangan risiko
dan performa
2. Melakukan identifikasi dan mencatat seluruh infrastruktur aset yang
harus dijaga
3. Membuat event log dan menyimpannya dalam sebuah periode tertentu
agar dapat digunakan dalam investigasi kasus di masa mendatang
-
4. Memastikan bahwa insiden dilaporkan secara tepat waktu sehingga
risiko yang terjadi akibat insiden dapat diminimalisir
Gambar 2.8 Output DSS01.04
Aktivitas DSS01.04
1. Mengidentifikasi segala bencana alam maupun yang diakibatkan oleh
manusia yang dapat terjadi di tempat teknologi informasi dijalankan
2. Melakukan identifikasi bagaimana untuk mengamankan aset dari
ancaman bencana tersebut
3. Memastikan bahwa lokasi IT dibuat dan didesain untuk
meminimalisir dampak dari bencana alam
4. Menjaga lokasi IT bersih dan aman setiap saat ( tidak berantakkan,
tidak kotor, maupun ada benda yang dapat memicu api)
Gambar 2.9 Output DSS01.05
Aktivitas DSS01.05:
1. Secara berkala melakukan tes terhadap tegangan listrik, kabel,
fluktuasi listrik, perangkat output di tempat teknologi informasi
dijalankan dan memastikan bahwa sudah cukup aman dan memadai
untuk menjalankan IT di lokasi tersebut.
2. Memberikan penyuluhan terkait dengan kesehatan, keamanan, dan
keselamatan kerja
3. Mencatat, mengawasi, dan menangani segala insiden yang terkait
dengan kejadian yang berhubungan dengan fasilitas IT dan
membuatkan laporannya
-
2.9.2 DSS02 Manage Service Requests and Incidents
Gambar 2.10 Output DSS02.01
Aktivitas DSS02.01:
1. Mendefinisikan segala insiden dan servis yang diminta serta
melakukan kategori prioritas untuk memastikan bahwa adanya
penanganan yang konsisten dan memadai
2. Membuat peraturan yang menjadi acuan dalam melakukan
penanganan insiden
3. Membuat kerangka atau model insiden yang diketahui untuk
memastikan bahwa penanganan dijalankan dengan efektif dan efisien
Gambar 2.11 Output DSS02.02
Aktivitas DSS02.02:
1. Segala permintaan servis ataupun penanganan insiden harus dicatat
sehingga adanya dokumentasi yang memadai untuk menjadi acuan
dalam penyelesaian masalah di masa mendatang
2. Membuat analisa trend, klasifikasi permintaan maupun insiden
berdasarkan tipe dan kategorinya
-
3. Memprioritaskan permintaan maupun penanganan insiden sesuai
dengan dampak maupun tingkat urgensinya
Gambar 2.12 Output DSS02.03
Aktivitas DSS02.03:
1. Memastikan bahwa permintaan servis yang dilakukan maupun yang
diterima sesuai dengan prosedur yang telah ditetapkan sebelumnya
2. Setiap permintaan maupun perubahan harus ada persetujuan formal
oleh pihak yang berwenang
Gambar 2.13 Output DSS02.04
Aktivitas DSS02.04 :
1. Melakukan identifikasi penyebab terjadinya sebuah insiden dari
dokumentasi yang telah dibuat sebelumnya
2. Jika masalah yang ditemukan dikategorikan baru, maka harus
membuat dokumentasi tambahan yang sesuai
3. Memberikan tugas penanganan insiden kepada orang yang ahli dalam
bidangnya
Gambar 2.14 Output DSS02.05
-
Aktivitas DSS02.05:
1. Memilih dan menjalankan solusi penyelesaian masalah yang dianggap
sesuai
2. Melakukan pencatatan terkait tindakan yang dilakukan untuk
menangani masalah yang dapat digunakan untuk referensi di masa
mendatang
Gambar 2.15 Output DSS02.06
Aktivitas DSS02.06:
1. Memastikan bahwa user yang memiliki insiden telah puas dengan
penanganan insiden/ insiden telah ditangani dengan tuntas
2. Menutup segala servis dan insiden
Gambar 2.16 Output DSS02.07
Aktivitas DSS02.07:
1. Memantau laporan insiden yang terjadi dan membuat analisa trend
yang terjadi
2. Melakukan identifikasi kebutuhan pemegang kepentingan dalam
organisasi terkait dengan data atau laporan
3. Membuat dan membagikan laporan yang sesuai kepada pihak yang
berwenang
-
2.9.3 DSS03 Manage Problems
Gambar 2.17 Output DSS03.01
Aktivitas DSS03.01:
1. Melakukan identifikasi masalah melalui korelasi laporan insiden,
error logs, dan sumber identifikasi masalah lainnya. Kemudian
menentukan prioritas dalam menyelesaikan masalah secara tepat
waktu.
2. Melaporkan status masalah yang dilaporkan kepada service desk
sehingga customer dan manajemen IT dapat mengetahuinya
3. Membuat katalog masalah untuk mencatat semua laporan insiden dan
cara penyelesaiannya sehingga ada rekam jejak auditnya.
Gambar 2.18 Output DSS03.02
Aktivitas DSS03.02:
1. Melakukan identifikasi masalah yang diketahui dan
membandingkannya dengan masalah yang pernah dicatat sebelumnya
dan jika masalah pernah terjadi sebelumnya maka akan
diklasifikasikan sebagai known errors
2. Membuat laporan yang menunjukkan perkembangan dalam aktivitas
penyelesaian masalah dan melakukan pemantauan statusnya
-
Gambar 2.19 Output DSS03.03
Aktivitas DSS03.03:
1. Setelah penyebab masalah diketahui, maka team IT harus membuat
catatan laporan known errors
2. Mengidentifikasi, evaluasi, dan menentukan prioritas solusi
berdasarkan dampak dan urgensinya
Gambar 2.20 Output DSS03.04
Aktivitas DSS03.04:
1. Menutup segala catatan penyelesaian masalah setelah konfirmasi
bahwa insiden telah ditangani dengan tuntas
2. Memberitahukan service desk terkait dengan penutupan masalah
3. Memastikan bahwa pengetahuan yang didapatkan dari penyelesaian
masalah tersebut dilakukan review dengan customer bisnis
Gambar 2.21 Output DSS03.05
Aktivitas DSS03.05:
1. Membuatkan laporan yang dapat memantau resolusi antara kebutuhan
bisnis dan SLA (Service Level Agreement).
2. Untuk mengoptimalkan pemakaian sumber daya, harus dilakukan
analisis terhadap trend masalah
-
3. Mengidentifikasi segala solusi yang menyelesaikan masalah secara
permanen/ menghilangkan sumber masalah sehingga masalah yang
sama tidak akan terjadi.
2.9.4 DSS04 Manage Continuity
Gambar 2.22 Output DSS04.01
Aktivitas DSS04.01:
1. Mengidentifikasi proses bisnis internal dan eksternal serta aktivitas
yang kritis untuk memastikan bahwa segala operasi dijalankan sesuai
dengan peraturan dan kebijakan yang berlaku
2. Mengidentifikasi tugas dan tanggung jawab semua pemegang
kepentingan pada perusahaan
3. Melakukan identifikasi antara kemampuan perusahaan saat ini dan
yang ingin dicapai
Gambar 2.23 Output DSS04.02
Aktivitas DSS04.02:
1. Melakukan identifikasi skenario yang dapat menyebabkan gangguan
terhadap proses bisnis serta dampak yang ditimbulkan
2. Melakukan analisa kebutuhan untuk menjalankan bisnis secara jangka
panjang
3. Setelah analisa kebutuhan telah dilakukan, harus dilakukan
persetujuan oleh eksekutif bisnis
-
Gambar 2.24 Output DSS04.03
Aktivitas DSS04.03:
1. Membuat Business Continuity Plan yang berisikan prosedur yang
harus diikuti untuk memastikan bahwa segala proses bisnis yang
penting dalam organisasi dapat dijalankan dengan lancar. Jika proses
bisnis dijalankan oleh pihak eksternal, maka harus dipastikan bahwa
ada aturan yang telah ditetapkan sehingga proses bisnis perusahaan
dapat dipenuhi
2. Melakukan pencatatan segala kegiatan maupun komunikasi yang
dilakukan pada saat terjadi gangguan. Juga harus dilakukan
pencatatan terkait dengan peran dan tanggung jawab setiap orang
yang terkait
Gambar 2.25 Output DSS04.04
Aktivitas DSS04.04:
1. BCP yang telah dibuat harus dilakukan test untuk memastikan bahwa
rencana yang dibuat telah sesuai dan memadai
2. Melakukan pelatihan untuk melaksanakan BCP sesuai yang
ditetapkan
3. Setelah pelatihan dijalankan, maka harus dibuat evaluasi dan
rekomendasi terkait dengan pelaksanaannya
-
Gambar 2.26 Output DSS04.05
Aktivitas DSS04.05:
1. Melakukan review BCP untuk memastikan bahwa BCP masih sesuai
dengan tujuan organisasi
2. Jika terjadi perubahan tujuan, maka harus dievaluasi perubahan apa
yang harus dibuat pada BCP tersebut
3. Secara berkala melakukan review BCP dengan mempertimbangkan
dampak dari perubahan besar terhadap: organisasi, proses bisnis,
teknologi, kesepakatan dengan pihak ketiga, infrastruktur, sistem
operasi maupun sistem aplikasi
Gambar 2.27 Output DSS04.06
Aktivitas DSS04.06:
1. Membuat rencana dan kebutuhan training untuk semua personel yang
terlibat dalam melakukan perencanaan, penilaian dampak, penilaian
risiko, media komunikasi dan respon terhadap insiden. Memastikan
bahwa rencana pelatihan dijalankan secara berkala dan sesuai dengan
prosedur
2. Melakukan pemantauan kemampuan berdasarkan hasil pelatihan
-
Gambar 2.28 Output DSS04.07
Aktivitas DSS04.07:
1. Memastikan bahwa sistem, aplikasi, data, dan dokumentasi diproses
dan dijaga oleh pihak ketiga secara memadai
2. Jika data backup dijalankan secara internal, maka harus memastikan
ada penjelasan kebutuhan tempat penyimpanan data yang sesuai
dengan kebutuhan bisnis
3. Backup sistem, aplikasi, data dan dokumentasi harus berisikan
a. Frekuensi (bulanan, mingguan, harian)
b. Metode backup
c. Jenis backup (keseluruhan atau per bagian)
d. Media yang digunakan untuk backup
e. Online backup yang otomatis
f. Tipe data
g. Logs
h. Lokasi fisik dari sumber data
i. Keamanan dan hak akses
j. Enkripsi data
Gambar 2.29 Output DSS04.08
Aktivitas DSS04.08:
1. Menilai ketaatan terhadap BCP yang telah didokumentasikan
2. Menentukan tingkat efektifitas, tugas dan tanggung jawab,
kemampuan, ketahanan terhadap insiden, infrastruktur teknis, dan
hubungan antara struktur organisasi dalam eksekusi BCP
3. Mengidentifikasi kelemahan dalam rencana dan membuat
rekomendasi yang sesuai untuk perbaikkan
-
2.9.5 DSS05 Manage Security Services
Gambar 2.30 Output DSS05.01
Aktivitas DSS05.01:
1. Melakukan komunikasi untuk meningkatkan kesadaran akan
pencegahan dari gangguan software yang berbahaya
2. Melakukan instalasi perlindungan dari virus atau software yang
berbahaya
3. Secara berkala melakukan evaluasi terhadap ancaman baru yang dapat
terjadi
Gambar 2.31 Output DSS05.02
Aktivitas DSS05.02:
1. Membuat kebijakan keamanan yang terkait dengan koneksi
berdasarkan penilaian risiko dan kebutuhan bisnis
2. Hanya memberikan akses kepada perangkat yang telah ditentukan
3. Melakukan enkripsi pengiriman informasi agar aman
4. Membuat penetration test secara berkala untuk memastikan bahwa
perlindungan terhadap jaringan telah memadai, setelah dilakukan test
tersebut maka harus di dokumentasikan hasilnya
-
Gambar 2.32 Output DSS05.03
Aktivitas DSS05.03:
1. Melakukan konfigurasi operating system secara aman
2. Melakukan konfigurasi jaringan secara aman
3. Melakukan enkripsi informasi dan disimpan berdasarkan kategorinya
4. Melindung integritas sistem
5. Mengadakan perlindungan fisik terhadap perangkat IT
6. Membuang perangkat IT yang sudah tidak terpakai secara aman (data
terlebih dahulu dibersihkan)
Gambar 2.33 Output DSS05.04
Aktivitas DSS05.04:
1. Membuat list akses user sesuai dengan kebutuhan proses dan fungsi
bisnis. Memastikan bahwa segala akses yang diberikan sesuai dengan
kewenangan jabatannya
2. Segala perubahan akses ke aset informasi harus dicatat secara tepat
waktu dan dilakukan persetujuan kepada pihak yang berwenang
3. Melakukan review secara berkala terkait hak akses
4. Membuat audit trail terhadap informasi sensitif
-
Gambar 2.34 Output DSS05.05
Aktivitas DSS05.05:
1. Segala hak akses yang diberikan harus dibuat secara formal oleh
pihak yang memiliki wewenang terhadap lokasi IT. Pernyataan formal
ini harus berisikan lokasi area yang diberikan aksesnya
2. Melakukan pemantauan terhadap akses masuk kedalam lokasi dimana
IT dijalankan. Mendaftarkan semua pengujung, vendor maupun
kontraktor yang melakukan kunjungan
3. Memastikan bahwa pengunjung dipantau oleh pihak yang berwajib
dan tidak dibiarkan sendirian
4. Memberikan latihan mengenai kesadaran akan keamanan
Gambar 2.35 Output DSS05.06
Aktivitas DSS05.06:
1. Membuat prosedur untuk mengelola tanda penerimaan, penggunaan,
penghapusan dan pembuangan dari form khusus.
2. Mengalokasikan hak akses terhadap dokumen sensitif dan output
devices berdasarkan kebutuhan bisnis.
3. Membuat penyimpanan terhadap dokumen sensitif.
4. Membuat pengamanan fisik terhadap form khusus dan device sensitif.
-
Gambar 2.36 Output DSS05.07
Aktivitas DSS05.07:
1. Mencatat kejadian-kejadian keamanan yang dilaporkan menggunakan
alat monitor infrastruktur dan mengidentifikasi informasi mana yang
perlu dicatat berdasarkan pertimbangan risiko.
2. Mendefinisikan dan mengkomunikasikan karakteristik potensi
ancaman insiden.
3. Mengkaji ulang catatan kejadian secara reguler.
4. Memelihara prosedur untuk mengumpulkan bukti forensik sesuai
dengan aturan dan pastikan seluruh pegawai sadar akan hal itu.
2.9.6 DSS06 Manage Business Process Controls
Gambar 2.37 Output DSS06.01
Aktivitas DSS06.01:
1. Mengidentifikasi dan mendokumentasi aktivitas kontrol dari bisnis
proses untuk memenuhi tujuan kebutuhan kontrol strategis,
operasional, dan laporannya.
2. Memprioritasi aktivitas kontrol berdasarkan inherent risk yang ada
pada proses bisnis utama dan mengidentifikasi kontrol utama.
3. Memastikan kepemilikan kegiatan kontrol.
4. Memonitor kegiatan kontrol secara end-to-end.
-
Gambar 2.38 Output DSS06.02
Akvitias DSS06.02:
1. Membuat transaksi oleh individu berwenang yang diikuti prosedur
dan terpisah secara kewajiban tergantung pada approval transaksi itu.
2. Melakukan autentikasi terhadap pembuat transaksi dan memastikan
orang tersebut memiliki wewenang untuk membuat transaksi tersebut.
3. Memasukkan transaksi dalam urutan waktu dan pastikan transaksinya
akurat, lengkap dan valid.
4. Membetulkan data yang sebelumnya terjadi kesalahan input.
Gambar 2.39 Output DSS06.03
Aktivitas DSS06.03:
1. Mengalokasikan peran dan tanggung jawab terhadap individu
berdasarkan job description.
2. Mengalokasikan tingkat dan batas wewenang untuk approval dari
sebuah transaksi.
3. Mengalokasikan hak akses berdasarkan apa yang dibutuhkan untuk
melakukan pekerjaan sesuai dengan job description.
4. Mengalokasikan peran untuk kegiatan yang sensitif dan rahasia
sehingga tercipta segregation of duties.
-
Gambar 2.40 Output DSS06.04
Aktivitas DSS06.04:
1. Mendefinisikan dan memelihara prosedur untuk menentukan
kepemilikan data, membetulkan data, dan mengesampingkan
kesalahan data.
2. Meninjau errors, pengecualian dan deviasi.
3. Memelihara semua bukti atas kegiatan pembetulan.
Gambar 2.41 Output DSS06.05
Aktivitas DSS06.05:
1. Mendefinisikan kebutuhan penyimpanan dari data transaksi
berdasarkan kebutuhan bisnis.
2. Menyimpan sumber informasi, bukti pendukung, dan catatan dari
sebuah transaksi.
3. Membuang sumber informasi, bukti pendukung, dan catatan dari
sebuah transaksi sesuai dengan kebijakan penyimpanan.
Gambar 2.42 Output DSS06.06
-
Aktivitas DSS06.06:
1. Menerapkan klasifikasi data dan prosedur untuk melindungi
keamanan aset informasi.
2. Memberikan training untuk kesadaran terhadap penggunaan data.
3. Membatasi penggunaan, distribusi, dan akses fisik terhadap data.
4. Mengidentifikasi dan menerapkan proses, alat, dan teknik untuk
memverifikasi kepatuhan.
2.10 Kerangka Pikir
Penulisan menggunakan kerangka pikir sesuai gambar 2.43 di bawah ini.
Gambar 2.43 Kerangka Pikir
Mengumpulkan data (studi pustaka,
observasi, wawancara)
Membuat rincian penilaian capability level
Melakukan penilaian capability level
Merumuskan kesimpulan & memberi masukan kepada perusahaan
Evaluasi tata kelola TI sistem CRM pada PT
XXX dengan COBIT 5
Menganalisis performance indicator
-
Studi pustaka akan dilakukan dari berbagai sumber yaitu jurnal, buku, dan
informasi dari internet yang berkaitan dengan evaluasi tata kelola TI dengan
menggunakan kerangka kerja COBIT 5. Dari studi pustaka yang dilakukan, penulis
akan melakukan pengumpulan data dengan berbagai metode seperti observasi dan
dari dokumentasi.
Dari data-data yang dikumpulkan akan diperoleh bukti-bukti yang diperlukan
untuk melakukan penilaian capability level dari setiap process attributes yang ada.
Penilaian dilakukan untuk menentukan capability level dari perusahaan berdasarkan
dari bukti-bukti yang ada untuk menentukan seberapa jauh tingkat capability level
perusahaan.
Hasil penilaian seluruh domain DSS akan menentukan tingkat capability level
perusahaan secara keseluruhan menurut domain DSS. Hasil tersebut akan
dibandingkan dengan target tingkat capability level perusahaan yang ingin dicapai.
Gap yang muncul dari perbandingan tersebut akan menentukan masukan perbaikan
untuk perusahaan supaya dapat menutup gap tersebut.