BAB 2 LANDASAN TEORI 2.1 Teknologi Informasi 2.1.1 ...thesis.binus.ac.id/Asli/Bab2/2008-2-00437-MNSI...
Transcript of BAB 2 LANDASAN TEORI 2.1 Teknologi Informasi 2.1.1 ...thesis.binus.ac.id/Asli/Bab2/2008-2-00437-MNSI...
BAB 2
LANDASAN TEORI
2.1 Teknologi Informasi
2.1.1 Definisi Teknologi Informasi
Pearlson dan Carol (2004, p329) menjabarkan definisi teknologi
informasi sebagai :
“... all forms of technology used to create, store, excange and use information”. “... segala bentuk teknologi digunakan untuk membuat, menyimpan, mengubah dan menggunakan informasi”.
O’Brien dan George (2006, p559) mendefinisikan teknologi informasi
sebagai:
“...hardware, software, telecommunications, database management, and other information processing technologies used in computer-based information system”. “...perangkat keras, perangkat lunak, telekomunikasi, manajemen basis data, dan teknologi pemrosesan informasi lainnya yang digunakan dalam komputer berbasis sitem informasi”.
Berdasarkan penjabaran di atas, definisi teknologi informasi dapat
diartikan sebagai semua bentuk teknologi berupa perangkat keras, perangkat
lunak, telekomunikasi, manajemen basis data, dan teknologi lainnya yang
digunakan untuk membuat, menyimpan, mengubah dan menggunakan
informasi dengan menggunakan komputer berbasis sistem informasi.
8
2.1.2 Arsitektur Teknologi Informasi
Arsitektur teknologi informasi (TI) yang lahir dari strategi bisnis/proses
perencanaan TI merupakan sebuah rancangan konsep atau blueprint yang di
dalamnya mencakup 4 komponen sebagai berikut (O’Brien dan George, 2006,
p480):
1. Platform teknologi (Technology Platform)
Internet, intranet, extranet dan jaringan lainnya, sistem komputer, sistem
perangkat lunak dan aplikasi perangkat lunak perusahaan terintegrasi yang
menyediakan infrastruktur komunikasi dan komputasi, atau platform, yang
mendukung strategi penggunaan TI bagi e-business, e-commerce dan bisnis
lainnya/aplikasi TI.
2. Sumber data (Data Resources)
Banyak tipe operasional dan spesialisasi basis data termasuk data
warehouse dan database internet/intranet, menyimpan dan menyediakan
data dan informasi untuk proses bisnis dan pendukung keputusan.
3. Arsitektur Aplikasi (Application Architecture)
Aplikasi bisnis TI dirancang sebagai sebuah arsiterktur yang terintegrasi
atau portofolio sistem perusahaan yang mendukung perencanaan strategi
bisnis, seperti proses bisnis cross-functional. Sebagai contoh, sebuah
arsitektur aplikasi harus meliputi dukungan bagi pengembangan dan
pemeliharaan aplikasi rantai suplai perusahaan, dan apliklasi perencanaan
sumber daya perusahaan & customer relationship management yang
terintegrasi.
9
4. Organisasi TI (IT Organization)
Struktur organisasi fungsi sistem informasi dalam sebuah perusahaan dan
distribusi spesialis sistem informasi dirancang untuk mempertemukan
perubahan strategi bisnis. Bentuk organisasi TI tergantung pada filosofi
manajerial dan formulasi bisnis/strategi TI selama proses perencanaan
strategis.
2.1.3 Pengelolaan Teknologi Informasi
O’Brien dan George (2006, p478) mengemukakan sebuah pendekatan
yang populer dalam pengelolaan TI dalam perusahaan besar (gambar 2.1).
pendekatan manajerial tersebut terbagi dalam 3 komponen utama:
- Pengelolaan pengembangan bersama dan implementasi bisnis/strategi TI
(Managing the joint development and implementation of business/IT
strategies).
Pemikiran dari manajemen tingkat atas dikembangkan oleh manajer TI dan
para profesional, dengan menggunakan TI untuk mendukung prioritas
strategi bisnis dalam perusahaan. Proses bisnis/perencanaan TI ini
digabungkan dengan tujuan strategi bisnis. Dalam proses ini juga meliputi
evaluasi permasalahan bisnis untuk menelusuri pengembangan dan
implementasi dari setiap tujuan bisnis/proyek dalam TI.
- Pengelolaan pengembangan dan implementasi bisnis/aplikasi TI baru dan
teknologi (Managing the development and implementation of new
business/IT applications and technologies).
Pengelolaan pada bagian ini merupakan tanggung jawab dari manajemen
tingkat atas. Dalam manajemen TI, lingkup ini melibatkan pengelolaan
10
proses pengembangan dan implementasi sistem informasi, berikut tanggung
jawab dalam meneliti strategi bisnis dengan TI yang baru.
- Pengelolaan organisasi TI dan infrastruktur TI (Managing the IT
organization and IT infrastructure).
Manajer TI bertanggung jawab dalam mengelola tugas bagi para IT
professional yang secara khusus mengorganisasikannya dalam berbagai tim
proyek dan sub unit lainnya. Selain itu, manajer TI juga bertanggung jawab
dalam mengelola infrastruktur TI yang meliputi perangkat keras, perangkat
lunak, basis data, jaringan telekomunikasi, dan sumber daya TI lainnya,
yang harus diperoleh, dioperasikan, dimonitor, dan dipelihara.
Gambar 2.1: Komponen utama pengelolaan TI Sumber: O’Brien dan George (2006, p478)
2.1.4 Kegagalan Dalam Pengelolaan TI ( IT Management Failure)
Mengelola TI bukan merupakan hal yang mudah. Fungsi sistem
informasi mempunyai masalah kinerja dalam banyak organisasi. Pengalaman
dari organisasi yang telah sukses mengungkapkan bahwa komposisi dasar
Information Technology
Management
Managing Application Development and
Technology
Managing the IT Organization and
Infrasturcture
Managing Business and
IT Strategy
11
kinerja sistem informasi yang berkualitas tinggi adalah pengelolaan yang luas
dan berarti keterlibatan pengguna dalam tata kelola dan pengembangan aplikasi
TI.
Pada banyak kasus, manfaat dari TI yang dijanjikan kadang tidak
terlaksana. Pembelajaran pada manajemen perusahaan konsultan dan riset
universitas menemukan banyak bisnis yang tidak berhasil dalam mengelola
penggunaan TI mereka. Kegagalan dalam pengelolaan TI terletak pada
penggunaan TI yang tidak efektif dan efisien (O’Brien dan George, 2006,
p486), seperti:
- TI tidak digunakan dengan efektif pada perusahaan yang menjadikan TI
sebagai tulang punggung dalam menjalankan proses bisnis tradisionalnya,
seperti pengembangan proses inovasi e-business yang melibatkan
pelanggan, pemasok, dan bisnis lainnya.
- TI tidak digunakan dengan efisien pada sistem informasi yang memberikan
respon waktu yang lama dan sering mengalami downtime, atau para
profesional sistem informasi dan konsultan yang tidak mengelola proyek
pengembangan aplikasi dengan tepat.
2.2 Pengendalian
2.2.1 Definisi Pengendalian
IT Governance Institute (2005, p15) mendefinisikan pengendalian
sebagai:
” ... the policies, procedures, practices and organizational structures designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented or detected and corrected.”
12
“ ... kebijakan, prosedur, praktek dan struktur yang didesain untuk menyediakan arahan-arahan untuk memastikan agar sasaran bisnis dan tujuan organisasi dapat tercapai, sehingga hal-hal yang tidak diinginkan dapat dicegah atau diditeksi dan diperbaiki.”
Bateman dan Scott ( 2004, p490) menuliskan definisi pengendalian
sebagai:
“ ... any process that directs the activities of individuals toward the achievement of organizationals goals.” “ ... segala proses yang mengantarkan aktivitas individu kepada pencapaian sasaran secara organisasional.”
Spafford (2004, http://itmanagement.earthweb.com/netsys/article.php/
3439901) memberikan pengertian pengendalian sebagai:
” ... mechanisms that keep IT in check in terms of delivering value and managing risk.” “ ... mekanisme yang menjaga peran TI pada pencapaian nilai dan
manajemen resiko.”
Berdasarkan penjabaran di atas, dapat disimpulkan bahwa pengendalian
merupakan kebijakan, prosedur, praktek, dan proses yang menyediakan arahan-
arahan terhadap aktivitas individu untuk memastikan supaya sasaran bisnis dan
tujuan organisaasi dapat tercapai, sehingga hal-hal yang tidak diinginkan dapat
dicegah dan diperbaiki. Di samping itu, dalam ruang lingkup TI, pengendalian
akan lebih bermanfaat apabila diposisikan sebagai suatu mekanisme yang
mengarahkan TI dalam pencapaian nilai dan mengelola resiko.
2.2.2 Siklus Pengendalian (Control Cycle)
Menurut Bateman dan Scott (2004, p491-494) terdapat 4 langkah utama
dalam proses pengendalian (Gambar 2.2), yaitu: (1) Menetapkan standar
13
kinerja (setting performace standards), (2) Mengukur kinerja (measuring
performance), (3) Membandingkan kinerja dengan standar (comparing
performance against the standards and determining deviations), dan (4)
Melakukan langkah perbaikan (taking corrective action).
Langkah 1: Menetapkan standar kinerja (Setting performance
standards).
Setiap organisasi mempunyai tujuan: laba, inovasi, kepuasan pelanggan, dan
lainnya. Sebuah standar diartikan sebagai tingkat dari kinerja yang diharapkan
untuk mencapai tujuan-tujuan tersebut. Standar diartikan sebagai tingkat dari
kinerja yang diharapkan untuk mencapai tujuan-tujuan tersebut.standar kinerja
dapat dirancang dengan memperhatikan aspek: kuantitas, kualitas waktu, dan
biaya.
Langkah 2: Mengukur kinerja (Measuring performance).
Data mengenai kinerja dapat diperoleh melaului 3 sumber: laporan tertulis,
laporan lisan, dan observasi personil. Laporan tertulis berupa hasil print-out
komputer. Laporan lisan berupa serangkaian pertanyaan untuk memperoleh
informasi tambahan atau dapat pula melalui diskusi. Dengan cara diskusi,
memungkinkan diperoleh masukan perbaikan sementara yang dapat dilakukan.
Observasi personil dilakukan dengan pengamatan pada area aktivitas dimana
kegiatan berlangsung.
Langkah 3: Membandingkan kinerja dengan standar (Comparing
performance with the standard).
Pada langkah ini dilakukan evaluasi terhadap kinerja. Dalam langkah ini,
diperlukan analisis dan evaluasi hasil dengan cermat. Pengecualian (principle
14
of exception) dilakukan apabila pengendalian memerlukan pengecualian yang
khusus. Hal ini difokuskan hanya pada kasus pengecualian yang membutuhkan
tingkat perbaikan yang sangat minimal sesuai kebijaksanaan dan ketentuan
khusus dengan tujuan penghematan waktu dan tenaga.
Langkah 4: Melakukan langkah perbaikan (Taking corrective action).
Bagian ini dilakukan untuk memastikan bahwa kegiatan penting yang telah
dirancang akan sesuai dengan hasil yang telah direncanakan sebelumnya.
Tindakan perbaikan yang tepat bergantung pada masalah yang dihadapi.
Tindakan ini dapat melibatkan perubahan prosedur atau metode, sikap yang
lebih disiplin, dilakukannya cara-cara baru dalam pengecekan, atau modifikasi
organisasi secara keseluruhan. Apabila diperlukan, dapat juga dilakukan
dengan diadakannya pelatihan.
Gambar 2.2: Proses Pengendalian Sumber: Bateman dan Scott (2004, p492)
Set performance
standards
Measure performance
Compare
Determine deviation
Take corrective action
Standards Within limits
Continue work progress
No Yes
15
2.2.3 Pendekatan Pengendalian
Terdapat 3 pendekatan untuk pengendalian birokratis, yaitu:
feedforward control, concurrent control, dan feedback control.
Feedforward control (sering disebut preliminary control) berorientasi
masa depan. Mengambil bagian sebelum kegiatan operasi dilakukan, meliputi
kebijakan, prosedur, dan aturan yang dirancang untuk memastikan aktivitas
perencanaan dijalankan sesuai dengan yang telah ditetapkan. Tujuannya adalah
untuk mencegah teriadinya masalah di kemudian hari. Sebelum mendapatkan
hasil dan membandingkannya dengan tujuan. dapat dilakukan pengendalian
dalam lingkup yang terbatas.
Concurrent control mengambil bagian pada saat proses perencanaan
dijalankan, meliputi pengarahan, monitoring, dan kegiatan penyesuaian sesuai
dengan kinerja yang dihasilkan. Concurrent control bertujuan untuk
memastikan pekerjaan telah dilakukan dengan efektif dan mencegah terjadinya
kesalahan.
Feedback control berfokus pada penggunaan informasi mengenai hasil
yang telah dilakukan untuk mengambil tindakan perbaikan dengan
menggunakan standar yang telah ditetapkan. Data mengenai kinerja
dikumpulkan, dianalisa, dan hasilnya kemudian dilaporkan untuk dilakukan
tindakan perbaikan yang diperlukan.
2.3 COBIT
Control Objectives for Information and related Technology (COBIT) adalah
seperangkat best practices (kerangka) untuk pengelolaan teknologi informasi yang
16
diciptakan oleh Information Systems Audit and Control Association (ISACA) dan IT
Governance Institute (ITGI) pada tahun 1992 (Anonim, 2006,
http://en.wikipedia.org/wiki/COBIT).
COBIT merupakan seperangkat alat multi-guna bagi manajemen bisnis yang
dapat digunakan secara luas. COBIT memungkinkan pihak manajemen dalam
mengontrol cakupan aktivitas bisnisnya. COBIT berfungsi sebagai panduan yang dapat
digunakan oleh pihak manajemen dalam mencapai tujuan bisnisnya dan sebagai suatu
standar pembanding dalam mengevaluasi keberhasilan manajemen pada tujuan yang
spesifik. Di samping itu, COBIT juga membantu pihak manajemen dalam memahami
dan mengelola resiko-resiko yang berkaitan dengan TI. COBIT tidak hanya terbatas
digunakan bagi pihak manajemen saja, tetapi dapat pula digunakan oleh auditor dan
pihak eksternal. Auditor dapat menggunakan COBIT untuk mengevaluasi kelayakan
dalam melakukan pengendalian internal suatu organisasi. Pihak eksternal dapat
menggunakan COBIT untuk membuat perbandingan di antara organisasi (Yan, 1998,
http://www.theiia.org/ITAudit/index.cfm?act=itaudit.archive&fid=43 ).
Dikembangkan pada tahun 1996 oleh Information Systems Audit and Control
Association (ISACA) dan sekarang ini dipublikasikan dan dikelola oleh IT
Governance Institute (ITGI) sebagai sebuah kerangka kerja yang menyediakan
mekanisme pengendalian melalui domain-domain teknologi informasi (Symons, 2005,
p7).
Pada edisi keempat (dirilis tahun 2005), COBIT berisi pengembangan arahan
bagi tata kelola teknis yang lebih mendalam dan pembaruan dari edisi ketiga yang
memberikan referensi baru dengan standar internasional. Kerangka kerjanya
diperbarui dan ditambahkan untuk meningkatkan pengendalian, kinerja manajemen
17
tingkat atas dan berorientasi pada pengembangan tata kelola teknologi informasi
dengan menyediakan maturity model (model kedewasaan), high level control objective
(tingkatan pengendalian sasaran), key goal indicators (indikator kunci keberhasilan),
dan key performance indicators (indikator kunci kinerja) untuk pengelolaan TI.
COBIT memungkinkan pengembangan kebijakan yang jelas dan praktek yang
baik untuk pengendalian TI dalam organisasi secara keseluruhan. Di samping itu,
COBIT dirancang untuk menjadi alat tata kelola TI yang dapat membantu dalam
memahami dan mengelola resiko serta manfaat yang berkaitan dengara informasi dan
hubungannya dengan TI.
Gambar 2.3: Evolusi COBIT Sumber: Yulistia (2005, p28)
2.3.1 Misi COBIT
Misi COBIT menurut IT Governance Institue (2005, p6) adalah:
"provides good practices across a domain and process framework and present activities in a manageable and logical structure."
18
“menyediakan konsep yang baik melalui sebuah domain dan memproses kerangka kerja dan menampilkan segala aktivitas ke dalam sebuah struktur yang dapat dikelola dan logis.”
COBIT menyediakan para manajer, auditor, dan para pengguna TI
seperangkat ukuran yang berlaku umum, indikator, proses, dan praktek terbaik
(best practice) untuk membantu dalam memaksimalkan manfaat yang diperoleh
melalui penggunaan teknologi informasi dan pengembangan tata kelola TI
yang sesuai dan memberikan pengendalian dalam sebuah organisasi (Anonim,
2006, p1, http://en.wikipedia.org/wiki/COBIT).
2.3.2 Kerangka Kerja COBIT
Kerangka kerja (framework) COBIT merupakan sebuah model
pengelolaan TI, yang dapat digunakan sebagai acuan dalam menentukan
sasaran pengendalian (control objective) dan proses TI yang diperlukan dalam
penerapan tata kelola TI pada suatu organisasi. Kerangka kerja COBIT
merupakan kumpulan praktek terbaik dan bersifat generik. Oleh karena itu
dalam menerapkan kerangka kerja COBIT harus disesuaikan dengan kebutuhan
pengelolaan dan proses TI yang berlangsung dalam organisasi tersebut.
2.3.2.1 Konsep Kerangka Kerja COBIT
Ada dua jenis model kendali yang dapat diterapkan untuk
pengelolaan TI, yaitu model kendali bisnis (business controls model,
COSO) dan model kendali TI (IT focused control model ITIL), COBIT
mencoba untuk menjembatani gap dari kedua jenis kendali tersebut.
COBIT diarahkan untuk lebih comprehensive digunakan oleh pihak
19
manajemen, sehingga COBIT tidak hanya berperan sebagai standar
pengelolaan TI tapi juga dapat digunakan sebagai alat bagi manajemen
puncak dalam merumuskan kebijakan strategis TI.
Dasar pemikiran kerangka kerja COBIT berawal dari kebutuhan
organisasi terhadap informasi diperlukan untuk memenuhi kebutuhan-
kebutuhan bisnisnya, untuk mendapatkan informasi tersebut diperlukan
sumber daya TI yang memadai, yang akan digunakan oleh proses TI
terkait.
Gambar 2.4: Prinsip pemenuhan kebutuhan bisnis organisasi Sumber: IT Governance Institue (2005, p12)
Informasi yang dihasilkan harus sesuai dengan kriteria yang
dibutuhkan, mencakup aspek kualitas (quality), kepercayaan (fiduciary).
dan keamanan (security). COBIT mendefinisikan kriteria-kriteria
informasi tersebut sebagai berikut:
1. Efektifitas (effectiveness).
Kesesuaian TI yang diterapkan dengan kebutuhan dari proses bisnis
(tepat, konsisten, dan dapat digunakan).
20
2. Efisiensi (efficiency).
Penggunaan sumber daya secara optimal.
3. Kerahasiaan (confidentiality).
Keamanan informasi organisasi dari gangguan pihak-pihak yang tidak
bertanggung jawab.
4. lntegritas (integrity).
Keakuratan, kelengkapan. dan validitas informasi terhadap ekspetasi
dari nilai bisnis.
5. Ketersediaan (availability).
Ketersediaan informasi yang dibutuhkan oleh proses bisnis di masa
sekarang dan yang akan datang. Kriteria ini berhubungan dengan
keamanan sumber daya TI yang penting.
6. Pemenuhan (compliance).
Ketaatan terhadap hukum, regulasi, dan kesepakatan kontrak.
7. Kehandalan informasi (reliability of information).
Ketepatan/ketersediaan informasi bagi manajemen untuk mendukung
pekerjaannya.
Kendali-kendali harus diterapkan pada setiap proses TI dalam
organisasi, dengan tujuan memastikan proses TI tersebut dapat berjalan
dan output yang dihasilkan sesuai dengan harapan dan kebutuhan bisnis.
Untuk memastikan kelayakan dan efektifitas dari kendali yang diterapkan
dan hasilnya sesuai dengan pengendalian sasaran (control objectives)
21
yang telah ditetapkan, kendali-kendali tersebut harus diawasi dan dinilai
secara regular.
Gambar 2.5: Konsep framework COBIT Sumber: IT Governace Institue (2005, p25)
22
2.3.2.2 Tingkatan Kerangka Kerja COBIT
Kerangka kerja COBIT terdiri dari 3 tingkatan. Dimulai dari tingkat
yang paling bawah merupakan kumpulan aktivitas (activities) dan tugas
(tasks). Aktivitas merupakan kegiatan rutin yang memiliki konsep daur-
hidup, sedangkan tugas merupakan kegiatan terpisah yang memiliki awal-
akhir dan bersifat tidak rutin. Aktivitas dan tugas memiliki tipikal
kebutuhan kendali yang berbeda. Pada tingkat berikutnya terdapat proses
yang merupakan kumpulan aktivitas dan tugas. Pada tingkat paling tinggi,
proses-proses tersebut dikelompokkan ke dalam domain permasalahan
pengelolaan TI.
Gambar 2.6: Tingkat control objectives COBIT Sumber: IT Governace Institue (2005, p25)
Kerangka kerja COBIT terdiri dari 34 proses TI, yang terbagi ke
dalam 4 domain pengelolaan. secara keseluruhan konsep kerangka kerja
COBIT dapat dilihat seperti kubus, sebagai berikut:
23
Gambar 2.7: Kubus COBIT Sumber: IT Governace Institue (2005, p25)
2.3.3 Tujuan Pengendalian COBIT
Menurut IT Governace Institute (2005, p15) tujuan pengendalian TI
didefinisikan sebagai suatu pernyataan dari hasil yang diinginkan atau tujuan
yang ingin dicapai dengan menerapkan prosedur-prosedur kendali dalam
aktivitas TI tertentu.
Kunci untuk mempertahankan keuntungan dalam lingkungan teknologi
yang kian berubah dapat dilihat dari seberapa baiknya penguasaan dalam
melakukan kendali. Control objectives COBIT menyediakan pandangan kritis
yang dibutuhkan untuk memberikan kebijakan yang jelas dan praktek yang
baik dalan melakukan kendali Tl (Anonim, 2006,
http://en.wikipedia.org/wiki/COBIT).
24
Tabel 2.1: COBIT Control Objectives
Sumber: Yulistia (2005, p20)
Pengendalian yang diterapkan pada setiap proses TI berpengaruh pada
pemenuhan kebutuhan bisnis yang berbeda dengan tingkat pengaruh yang
berbeda pula. Pengaruh dari kendali yang diterapkan terhadap kriteria
informasi (kebutuhan bisnis) dikategorikan sebagai berikut:
l. Primary (P).
Tujuan pengendalian yang diterapkan (control objective) berpengaruh secara
langsung terhadap pemenuhan kriteria informasi/kebutuhan bisnis terkait.
2. Secondary (S).
Tujuan pengendalian yang diterapkan (control objective) secara tidak langsung
dapat mempengaruhi pemenuhan kriteria informasi/kebutuhan bisnis terkait.
25
3. Blank.
Tujuan pengendalian yang diterapkan (control objective) tidak mempengaruhi
pemenuhan kriteria informasi/kebutuhan bisnis terkait terkait.
Supaya proses TI dapat berjalan sesuai dengan harapan, proses TI
tersebut harus didukung dengan ketersediaan sumber daya TI yang memadai.
Setiap proses TI memerlukan sumber daya TI yang berbeda. COBIT
mengelompokan sumber daya-sumber daya TI yang akan digunakan dalam
proses TI seperti berikut:
l. Data.
Seluruh jenis data, baik yang terstruktur atau tidak terstruktur dan dalam
berbagai bentuk (gambar, suara, dan sebagainya).
2. Sistem aplikasi (application system).
Prosedur yang diterapkan dalam organisasi baik prosedur manual atau prosedur
terkomputasi (aplikasi komputer).
3. Teknologi (technology).
Mencakup perangkat keras, sistem operasi, jaringan komputer multimedia, dan
lain-lain.
4. Fasilitas (facilities).
Seluruh sumber daya yang dimanfaatkan untuk menyimpan dan mendukung
sistem informasi.
5. Sumber daya manusia (people).
Mencakup kemampuan staff, dan berbagai pihak yang terlibat dalam
pengaturan. pengadaan, pemenuhan layanan, pengawasan, dan mendukung
layanan dan sistem informasi.
26
Bagian utama COBIT adalah ke-34 control objectives (Tabel 2.1).
Control objectives tersebut dikelompokkan dalam 4 domain, yaitu: planning
and organization, acquisition and implementation, delivery and support, dan
monitoring and evaluate sebagai berikut :
- Perencanaan dan Pengorganisasian (Planning and Organization).
Domain ini mencakup strategi dan taktik yang menyangkut identifikasi
tentang bagaimana TI dapat memberikan kontribusi terbaik dalam
pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi
yang baik dengan infrastruktur teknologi yang baik pula. Termasuk di
dalamnya strategi dan taktik yang digunakan TI untuk mencapai sasaran
bisnis, perencanaan strategi, strategi komunikasi, strategi manajemen,
manajemen resiko, dan manajemen sumber daya yang menjamin bahwa
kebutuhan infrastruktur teknologi dan sumber daya manusia berada pada
sasaran yang tepat.
- Akuisisi dan Implementasi (Aquisition and Implementation).
Untuk mencapai sejumlah strategi, terlebih dahulu harus mengidentifikasi,
mengembangkan atau memperoleh, dan melakukan implementasi pemecahan
masalah terhadap proses-proses bisnis. Di samping itu, harus pula
memperhatikan daur hidup (life cycle) dari sistem yang telah ada melalui
pemeliharaan, peningkatan. dan penyelesaian pada tahap akhir.
- Layanan dan Dukungan (Delivery and Support).
Pada sebagian besar level dasar, TI memberikan layanan kepada para
penggunanya (user). Domain ini berfokus pada layanan dari masalah
dukungan yang mencakup performance dan keamanan, dan juga pelatihan.
27
- Pengawasan dan Evaluasi (Monitoring and Evaluate).
Semua proses TI membutuhkan penilaian secara rutin mengenai kualitas dan
pencapaian dengan kebutuhan-kebutuhan pengendalian. Domain monitoring
berhubungan dengan tanggung jawab manajemen dalam proses pengendalian
organisasi.
2.3.3.1 Control Objective DS1 (Define and Manage Service Levels)
DS1 menurut IT Governance Institute (2005, p103-104),
membahas seputar service level agreement. Yang dimaksud dengan
service level agreement disini adalah layanan-layanan yang diberikan
oleh suatu organisasi kepada penggunanya, siapa penggunanya, dan hal-
hal lain yang berkaitan dengan pemberian layanan. Hal-hal yang
berkaitan dengan control objectives dari COBIT sendiri pada DS1 -
Define and Manage Service Levels sebagai berikut:
o Kerangka kerja pengelolaan tingkat pelayanan (Service level
management framework)
o Definisi pelayanan (Definition of service)
o Perjanjian mengenai tingkat pelayanan (Service level agreements)
o Perjanjian mengenai tingkat pengoperasian (Operating level
agreements)
o Pengawasan dan pelaporan perjanjian tingkat pelayanan (Monitoring
and reporting of service level agreement)
o Peninjauan kembali perjanjian dan kontrak tingkat pelayanan (Review
service level agreements and contracts)
28
2.3.3.2 Tujuan Pengendalian DS2 (Manage Third Party Service)
DS2 menurut IT Governance Institute (2005, p107-108),
membahas seputar hubungan perusahaan dengan layanan-layanan yang
diberikan oleh pihak ketiga. Yang dimaksud dengan pihak ketiga disini
adalah pihak yang ikut serta dalam memberikan layanan teknologi
informasi di perusahaan akan tetapi bukan merupakan bagian dari
perusahaan tersebut. Setiap perusahaan tidak mungkin menyediakan
seluruh layanan-layanannya sendiri. Layanan-layanan ini terkadang
disediakan dengan bantuan dari pihak ketiga, oleh karena itu perlu
didefinisikan pedoman-pedoman yang mengatur masalah ini. Hal-hal
yang berkaitan dengan control objectives dari COBIT sendiri untuk DS2 -
Manage Third Party Service sebagai berikut:
o Pengidentifikasi hubungan kerjasama para penyuplai (Identification
of all supplier relationship)
o Pengelolaan hubungan kerja sama bagi para penyuplai (Supplier
relationship management)
o Pengelolaan resiko para penyuplai (Supplier management risk)
o Pengawasan kinerja para penyuplai (Supplier performance
monitoring)
2.3.3.3 Tujuan Pengendalian DS3 (Manage Performance and Capacity)
DS3 menurut IT Governance Institute (2005, p111-112),
membahas bagaimana suatu perusahaan menjaga performansi dan
kapasitas dari layanan teknologi informasi yang ditawarkannya kepada
29
penggunanya agar perusahaan tersebut dapat tetap menjaga kualitas
layanannya. Kualitas layanan memang sudah seharusnya dijaga oleh
suatu perusahaan untuk menjaga nama baiknya sehingga tidak
ditinggalkan penggunannya. Pihak manajemen dari perusahaan tersebut
sebaiknya menaruh perhatian juga pada hal ini sehingga dapat ditangani
dengan baik. Beberapa control objective dari DS3 - Manage Performance
and Capacity antara lain sebagai berikut:
o Perencanaan performa dan kapasitas (Performance and capacity
planning)
o Performa dan kapasitas pada saat ini (Current capacity and
performance)
o Performa dan kapasitas pada masa depan (Future capacity and
performance)
o Ketersediaan sumber daya (Resource availability)
o Pengawasan dan pelaporan (Montoring and reporting)
2.3.3.4 Tujuan Pengendalian DS4 (Ensure Continuous Service)
DS4 menurut IT Governance Institute (2005, p115-116),
membahas kepastian akan keberlangsungan layanan teknologi informasi.
Layanan teknologi informasi yang diberikan oleh suatu perusahaan,
terlepas dari masalah mutu, sebaiknya harus tetap berlanjut dalam kondisi
yang buruk sekalipun. Dengan kata lain sebaiknya pihak manajemen
mengantisipasi setiap kejadian-kejadian buruk yang dapat mengakibatkan
keberlangsungan layanan teknologi informasi terputus. Pada dasarnya
30
kemungkinan terputusnya layanan teknologi informasi karena beberapa
kejadian-kejadian buruk ini dapat diperkecil dengan tindakan manajemen
yang baik. Control objective dari DS4 - Ensure Continuous Service
adalah sebagai berikut:
o Kerangka kerja keberlangsungan TI (IT continuity framework)
o Rencana keberlangsungan TI (IT continuity plans)
o Sumber daya TI yang penting (Critical IT resources)
o Pemeliharaan rencana keberlangsungan TI (Maintenance of IT
continuity plan)
o Uji coba terhadap rencana keberlangsungan TI (Testing of IT
continuity plan)
o Pelatihan perencacanaan keberlangsungan TI (IT continuity plan
training)
o Pendistribusian perencanaan keberlangsungan TI (Distribution of IT
continuity plan)
o Perbaikan dan pemulaian kembali pelayanan TI (IT service recovery
and resumption)
o Penempatan penyimpanan cadangan (Offsite backup storage)
o Peninjauan terhadap aktifitas setelah pemulaian kembali (Post-
resumption review)
2.3.3.5 Tujuan Pengendalian DS5 (Ensure System Security)
DS5 menurut IT Governance Institute (2005, p119-120),
membahas dua permasalahan komponen keamanan yaitu keamanan per
31
individu pengguna dan keamanan jaringan internal dari ancaman luar.
Keamanan per individu pengguna layanan teknologi informasi adalah
keamanan login dari tiap-tiap individu pengguna dari pengguna lain. Di
sini dibahas masalah bagaimana suatu login pengguna hanya digunakan
oleh pengguna itu sendiri dan hanya digunakan untuk tujuan-tujuan yang
tidak mengganggu pengguna lainnya ataupun merusak sistem layanan
teknologi informasi. Keamanan ini termasuk di dalamnya penggunaan
perangkat lunak antivirus dan firewall. Contoh objective dari DS5 -
Ensure System Security antara lain yaitu:
o Pengelolaan keamanan TI (Management of IT security)
o Perencanaan keamanan TI (IT security plan)
o Pengelolaan kegiatan identifikasi (Identify management)
o Pengelolaan wewenang akses para pengguna (User account
management)
o Uji coba keamanan, pengamatan dan pengawasan (Security testing,
surveillance and monitoring)
o Pendefinisian insiden keamanan (Security incident definition)
o Perlindungan teknologi keamanan (Protection of security technology)
o Pengelolaan kunci kriptografik (Cryptographic key management)
o Perlindungan, pendeteksian dan koreksi terhadap perangkat lunak
(Malicious software prevention, detection and correction)
o Keamanan jaringan (Network security)
o Penggantian data yang bersifat sensitif (Exchange of sensitive data)
32
2.3.3.6 Tujuan Pengendalian DS6 (Identify and Alocate Costs)
DS6 menurut IT Governance Institute (2005, p123-124),
membahas seputar biaya dari layanan teknologi informasi dari suatu
perusahaan. Pengoperasian dari layanan-layanan teknologi informasi
pasti memerlukan biaya. Jadi, COBIT dalam hal ini menekankan bahwa
biaya-biaya dari pengoperasian layyanan ini dikelola dengan baik oleh
manajemen perusahaan. Control objective dari DS6 - Identify and Alocate
Costs bisa dilihat sebagai berikut:
o Pendefinisian pelayanan (Definition of service)
o Akuntansi TI (IT accounting)
o Pemenuhan dan pemodelan biaya (Cost modelling and charging)
o Pemeliharaan model biaya (Cost model maintenace)
2.3.3.7 Tujuan Pengendalian DS7 (Educate and Train Users)
DS7 menurut IT Governance Institute (2005, p127-128),
merupakan suatu proses yang mengkhususkan perhatiannya pada
pengelolaan pengguna karena sumber daya yang dilibatkan pada proses
ini hanyalah manusia saja. Proses ini mengusahakan agar pengguna dari
layanan teknologi informasi yang ditawarkan oleh perusahaan dapat
digunakan secara optimal. Penggunaan secara optimal di sini maksudnya
adalah agar pengguna mengerti layanan-layanan yang diberikan oleh
perusahaan dan pengguna dapat menggunakannya sesuai dengan
kebutuhannya. Control objective dari DS7 - Educate and Train Users
antara lain:
33
o Pengidentifikasian kebutuhan pelatihan dan pendidikan (Identification
of education and training needs)
o Pendistribusian pelatihan dan pendidikan (Delivery training and
education)
o Evaluasi pencapaian pelatihan (Evaluation of training received)
2.3.3.8 Tujuan Pengendalian DS8 (Manage Service Desk and Incidents)
DS8 menurut IT Governance Institute (2005, p131-132),
merupakan sebuah proses yang menyajikan wadah dimana pengguna
menyatakan keluhan-keluhan terhadap layanan yang dipakainya. Dalam
hal ini termasuk juga prosedur-prosedur penangan yang baik dalam
menyelesaikan keluhan-keluhan tersebut. Control objective dari DS8 -
Manage Service Desk and Incidents dapat dijabarkan sebagai berikut:
o Service desk
o Pencatatan pertanyaan pelanggan (Registration of customer queries)
o Pencatatan permasalahan (Incident escalation)
o Penutupan permasalahan (Incident closure)
o Analisis tren (Trend analysis)
2.3.3.9 Tujuan Pengendalian DS9 (Manage the Configurations)
DS9 menurut IT Governance Institute (2005, p135-136),
membahas pada 2 hal, yaitu pencatatan aset teknologi informasi yang
dimiliki dan pencatatan informasi mengenai konfigurasi yang digunakan.
Suatu perusahaan perlu untuk mengetahui aset-aset apa saja yang
34
dimilikinya untuk menghindarinya dari kehilangan dan kejadian-kejadian
merugikan lainnya, sedangkan pencatatan konfigurasi yang digunakan
adalah sebagai standar dari konfigurasi aset-aset teknologi informasi yang
dimiliki dan apabila ada kejadian yang menyebabkan konfigurasi sistem
pun menjadi lebih mudah. Control objective dari DS9 - Manage the
Configurations sendiri dapat dilihat sebagai berikut:
o Konfigurasi tempat penyimpanan (Configuration repository and
baseline)
o Pengidentifikasi dan pemeliharaan konfigurasi (Identification and
maintenance of configuration item)
o Peninjauan ulang integritas konfigurasi (Configuration integrity
review)
2.3.3.10 Tujuan Pengendalian DS10 (Manage Problems)
DS10 menurut IT Governance Institute (2005, p139-140), adalah
manajemen permasalahan dan insiden. Sebenarnya manajemen ini mirip
dengan yang dilakukan pada DS4. perbedaannya terletak pada waktu,
DS4 merupakan manajemen untuk mencegah atau memperkecil
kemungkinan terjadinya suatu permasalahan sedangkan DS10 adalah
manajemen hal-hal yang sebaiknya dilakukan apabila insiden atau
permasalahan telah terjadi. Hal seperti ini penting untuk dikelola agar
penanganan suatu permasalahan atau insiden dapat diselesaikan dengan
cepat. Control objective dari DS10 – Manage Problem yang dijabarkan
sebagai berikut:
35
o Pengidentifikasian dan pengklasifikasian permasalahan (Identification
and classification of problems)
o Pengamatan dan penelusuran permasalahan (Problem tracking and
resolution)
o Penutupan permasalahan (Problem closure)
o Pengintegrasian perubahan, konfigurasi dan pengelolaan
permasalahan (Integration of change, configuration and problem
management)
2.3.3.11 Tujuan Pengendalian DS11 (Manage Data)
DS11 menurut IT Governance Institute (2005, p143-144),
merupakan suatau proses pengelolaan sumber daya teknologi informasi
khususnya data. Data merupakan suatu sumber daya penting dalam suatu
perusahaan, oleh karena itu diperlukan pedoman-pedoman dalam
mengelola data mulai dari pemasukan, penggunaan, pembuangan,
perubahan, pemeliharaan, serta proses-proses data lainnya. Beberapa
control objective dari DS11 - Manage Data adalah sebagai berikut:
o Pengelolaan data dari kebutuhan-kebutuhan bisnis (Business
requirements for data management)
o Pengaturan penyimpanan (Storage and retention arrangements)
o Sistem pengelolaan media pustaka (Media library management
system)
o Penanganan (Disposal)
36
o Pembuatan cadangan data dan proses penyimpanan kembali (Backup
and restoration)
o Pengelolaan data dari kebutuhan keamanan (Security requirements for
data management)
2.3.3.12 Tujuan Pengendalian DS12 (Manage the Physical Environment)
DS12 menurut IT Governance Institute (2005, p147-148),
merupakan suatu proses pengelolaan fasilitas fisik penyedia layanan
teknologi informasi. Sumber daya teknologi informasi yang dikelola
dalam proses ini hanyalah fasilitas. Suatu perusahaan sebaiknya
mengelola fasilitas-fasilitas yang dimilikinya dengan baik agar fasilitas-
fasilitas tersebut terpelihara dengan baik sehingga mampu memberikan
layanan dengan kualitas yang baik pula. Control objective dari DS12 -
Manage the Physical Environment bisa dilihat sebagai berikut:
o Penempatan dan pemilihan rancangan (Site and selection layout)
o Pengukuran keamanan fasilitas (Phsycal security measure)
o Akses penggunaan fasilitas (Physical access)
o Perlindungan terhadap ancaman faktor-faktor lingkungan (Protection
against environtment factors)
o Pengelolaan fasilitas (Physical facilities management)
2.3.3.13 Tujuan Pengendalian DS13 (Manage Operation)
DS13 menurut IT Governance Institute (2005, p151-152),
merupakan suatu proses yang berhubungan erat dengan pekerjaan
37
administrator atau operator teknologi informasi dari suatu perusahaan.
Proses ini mencakup perihal prosedur pengoperasian, pencatatan aktivitas
pengoperasian, sampai penjadwalan kerja staf. Control objectives dari
DS13 - Manage Operation antara lain sebagai berikut:
o Instruksi dan prosedur operasi (Operation procedures and
instructions)
o Penjadwalan kerja (Job shceduling)
o Pengawasan infrastruktur TI (IT infrastructure monitoring)
o Dokumen yang sifatnya sensitif dan alat-alat yang menghasilkannya
(Sensitive documents and output devices)
o Pemeliharaan terhadap perangkat keras (Preventive maintenance for
hardware)
2.3.4 Model Tingkat Kedewasaan (Capability Maturity Model) COBIT
Menurut Indrajit (2004, http://www.ebizzasia.com/0214-
2004/q&a,0214.html) pendekatan yang sering digunakan untuk menilai tingkat
optimalisasi penerapan teknologi informasi adalah dengan menggunakan
Capability Maturity Model yang pada mulanya diperkenalkan oleh Software
Engineering Institute (Carnegie-Mellon University) dan kemudian
dikembangkan oleh Information Technology Governance Institute dalam
metode COBIT, dimana tingkat kematangan manajemen sistem dan teknologi
informasi dapat dibagi menjadi 6 (enam) level, yaitu:
38
0 – Tidak ada (Non-Existent)
Perusahaan tidak mengelola dan tidak menerapkan proses tata kelola TI.
Perusahaan bahkan sama sekali belum mengetahui tentang pengelolaan TI dan
tidak tersedia komunikasi mengenai hal tersebut.
1 – Permulaan/untuk tujuan tertentu saja (Initial/Ad-Hoc)
Organisasi telah mengetahui tentang tata kelola TI dan menyadari perlunya
melakukan pengelolaan TI, tetapi belum tersedia proses yang distandarisasi.
Perusahaan hanya memiliki pendekatan yang didasarkan pada individu
tertentu. Pendekatan untuk manajemen belum terkelola dan jarang dilakukan.
Komunikasi dalam hal pendekatan untuk manajemen dan penyelesaian
terhadap permasalahan yang ada tidak dilakukan secara konsisten. Tidak
tersedia proses untuk pengukuran standar, dan perhatian pada TI hanya
diterapkan sebagai reaksi atas kegagalan yang mengakibatkan kerugian bagi
perusahaan.
2 – Pengulangan (Repeatable but Intuitive)
Perusahaan telah menyadari kebutuhan akan pentingnya tata kelola TI. Telah
tersedia kegiatan tata kelola TI dan indikator pengukuran kinerja dalam tahap
pengembangan, yang meliputi perencanaan, pelaksanaan, dan pengawasan TI.
Pengelolaan TI secara formal dikaji dan dilibatkan dalam manajemen
perubahan dengan dukungan dari manajemen senior. Beberapa proses TI secara
selektif diidentifikasi untuk meningkatkan atau mengendalikan proses inti
perusahaan, direncanakan secara efektif, dijadikan sebagai bagian dari
investasi, dan digambarkan dalam suatu kerangka kerja arsitektur TI. Pihak
manajemen telah mengetahui ukuran dasar untuk pengelolaan TI, tetapi proses
39
tersebut belum diaplikasikan secara menyeluruh dalam perusahaan. Tidak
tersedia pelatihan formal dan komunikasi tentang standar untuk tata kelola TI.
Tanggung jawab proses tata kelola dalam berbagai proyek dan proses dalam TI
dikendalikan oleh individu.
3 – Terdefinisi (Defined Process)
Kebutuhan akan adanya tata kelola TI telah disadari dan diketahui perusahaan.
Sekumpulan aturan untuk indikator dasar tata kelola TI telah direncanakan.
Hubungan antara ukuran hasil dan kinerja telah terdefinisi dengan jelas,
tersedia dokumentasi dan terintegrasi dengan perencanaan strategi, operasional,
dan pengawasan. Prosedur yang tersedia telah distandarisasi, didokumentasi
dan diterapkan. Pihak manajemen telah mengkomunikasikan standar untuk
prosedur dan pelatihan-pelatihan telah dilakukan secara informal. Namun,
implementasinya diserahkan pada setiap individu, sehingga kemungkinan
penyimpangan yang terjadi kadang tidak terdeteksi. Prosedur telah
dikembangkan sebagai bentuk formalisasi dari praktek yang ada.
4 – Terkelola dan terukur (Managed and Measurable)
Hal mengenai tata kelola TI telah dipahami oleh seluruh bagian dan didukung
dengan adanya pelatihan secara formal. Pelayanan kepada pelanggan telah
dipahami secara jelas dan diawasi dengan adanya kesepakatan pelayanan.
Pembagian tanggung jawab sudah terbagi secara jelas. Proses dalam TI
diselaraskan dengan kebutuhan bisnis dan strategi TI. Peningkatan terhadap
proses TI didasarkan terutama atas ukuran yang telah ada dan memungkinkan
dilakukannya pengawasan untuk mengukur kesesuaian antara prosedur yang
40
ada dengan proses yang dilakukan. Semua pihak yang terlibat dalam proses
memahami resiko, pentingnya TI, dan peluang yang dapat diciptakan oleh TI.
5 – Teroptimalkan (Optimized)
Pemahaman terhadap masalah dan solusi mengenai tata kelola TI sudah sangat
mendalam dan berorientasi ke depan. Perusahaan lebih responsif dalam
menghadapi kompetensi bisnis. Pelatihan dan komunikasi didukung oleh
teknik dan konsep yang terbaik. Proses yang ada telah disempurnakan hingga
tahapan eksternal untuk praktek terbaik berdasarkan pada hasil peningkatan
yang terus menerus dan perbandingan model maturity dengan perusahaan lain.
Implementasi kebijakan ini menuntun perusahaan individu, dan proses yang
dilakukan dapat mengadaptasi tata kelola TI dengan cepat dan mendukung
kebutuhan secara menyeluruh.
Panduan dalam COBIT tidak menyertakan cara pengukuran untuk
Maturity Model. Penilaian untuk pengukuran Maturity Model akan
menggunakan metode yang dikemukakan oleh Pederiva (2003, p2-3) dengan
langkah-langkah sebagai berikut:
1. Rentang jawaban dibagi menjadi 4 skala yaitu: 1 – 2 – 3 – 4 dengan nilai
pemenuhan (compliance value) dengan bobot 0 hingga 1 (0, 0.33, 0.66, 1).
Bobot dari nilai pemenuhan ini menunjukkan tingkat persetujuan terhadap
satu pernyataan, seperti tertera pada tabel sebagai berikut:
Tabel 2.2: Compliance value untuk persetujuan atas pernyataan
Skala Jawaban atas pernyataan
Nilai pemenuhan (compliance value)
1 Tidak setuju 0
41
2 Kurang setuju 0.33 3 Setuju 0.66 4 Sangat setuju 1
2. Nilai pemenuhan dari masing-masing level untuk setiap jawaban
dijumlahkan, kemudian dihitung maturity level compliance value dengan
cara membagi total nilai pemenuhan pada masing-masing level [A] dengan
jumlah pernyataannya [B], seperti pada contoh berikut ini:
Tabel 2.3: Contoh perhitungan maturity level compliance value
Maturity level [M]
Total nilai pemenuhan [A]
Jumlah pernyataan [B]
Maturity level compliance value
[A/B] 0 0.00 2 0.00 1 0.00 9 0.00 2 3.00 6 0.50 3 8.63 11 0.78 4 6.97 9 0.77 5 6.31 8 0.79
3. Masing-masing dari maturity level compliance value [C] kemudian dibagi
dengan total keselurhan maturity level compliance value, sehingga
diperoleh normalized maturity level compliance, seperti pada contoh di
bawah ini:
Tabel 2.4: Contoh perhitungan normalized maturity level compliance value
Maturity level [M]
Maturity level compliance value [C]
Normalized maturity level compliance value
(C/Sum[C]) 0 0.00 0.000 1 0.00 0.000 2 0.50 0.176 3 0.78 0.275 4 0.77 0.272 5 0.79 0.277
Total: 2.84 1
42
4. Masing-masing dari maturity level [M] kemudian dikalikan dengan
normalized maturity level compliance value yang bersangkutan [D],
sehingga diperoleh kontribusi untuk setiap maturity level, seperti pada
contoh berikut ini:
Tabel 2.5: Perhitungan nilai akhir maturity level
Maturity level [M]
Normalized Maturity level compliance value
[D]
Kontribusi ([M] x [D])
0 0.000 0.00 1 0.000 0.00 2 0.176 0.35 3 0.275 0.83 4 0.272 1.09 5 0.277 1.38 Total maturity level: 3.65
Nilai akhir yang diperoleh (pada contoh diatas adalah 3.65)
menggambarkan kondisi maturity level yang dicapai perusahaan adalah pada
level 3.65.
Maturity model dibuat sebagai dasar ukuran untuk mengetahui sejauh
mana satu organisasi memiliki kendali terhadap satu sasaran teknologi
informasi tertentu. Dengan maturity model, organisasi dapat dengan mudah
melihat posisi saat ini serta menentukan target posisi atau kondisi apa yang
ingin dicapai di masa mendatang.
Dengan menggunakan kerangka kerja yang telah disediakan COBIT,
setiap perusahaan dapat melakukan kajian terhadap tingkat kematangan
manajemen teknologi informasinya. Semakin optimal perusahaan dalam
mengelola sumber daya teknologi informasinya, akan semakin tinggi nilai
akhir tingkat kematangan yang diperoleh.
43
Gambar 2.8: Grafik Maturity Model Sumber: IT Governace Institue (2005, p19)
2.4 Manajemen
2.4.1 Pengertian Manajemen
Dalam bukunya, Bateman dan Scott (2004, p14) mendefinisikan
manajemen sebagai :
“the process of working with people and resources to accomplish organizational goals.”
“suatu proses bekerja bersama manusia dan sumberdaya lainnya untuk
memenuhi sasaran organisasional.” Sedangkan menurut Madura (2001, p13), manajemen adalah cara
bagaimana karyawan dan sumber lain (seperti mesin-mesin) digunakan oleh
perusahaan.
Berdasarkan pengertian diatas, manajemen dapat diartikan suatu proses
bagaimana bekerja bersama manusia dan sumberdaya lainnya untuk memenuhi
sasaran organisasional.
44
Manajemen sering dilakukan dengan alat bantu atau alat pengukur.
penggunaan alat bantu tersebut bertujuan untuk mempermudah para manajer
untuk merancang rencana, menganalisa situasi dan kondisi perusahaan atau
industri pada umumnya, yang kesemuanya berhilir pada pengambilan
keputusan yang tepat.
2.4.2 Key Performance Indicator (KPI) dan Key Goal Indicator (KGI)
Menurut IT Governance Institute (2005, p23) Key Performance Indicator
merupakan ukuran-ukuran yang membantu penentuan seberapa baik proses
teknologi informasi diselenggarakan dalam mencapai sasaran.
Sedangkan Key Goal Indicator dalam definisi IT Governance Institute
(2005, p23) berarti ukuran-ukuran yang memberi gambaran kepada pihak
manajemen apakah suatu proses teknologi informasi telah memenuhi
kebutuhan bisnis.
Kedua indikator ini dirancang untuk mengetahui apa saja faktor-faktor
penggerak performa, pendefinisian sasaran, pengukuran pencapaian,
peningkatan dan penyelaraasan. Matrik yang efektif adalah matrik yang
mempunyai karakteristik sebagai berikut:
• Menampilkan wawasan atau informasi yang luas atau berkualitas
• Dapat dibandingkan secara internal (ditunjukkan dengan persentase
atau angka-angka)
• Dapat dibandingkan secara eksternal tanpa melihat ukuran perusahaan
atau industri
45
• Lebih baik jika menampilkan sedikit matrik yang baik daripada banyak
matrik dengan kualitas informasi yang rendah
• Mudah diukur dan tidak membuat bingung
2.4.3 Analisis Hubungan Kausal Key Goal Indicator & Key Performance
Indicator
Analisis ini berfungsi untuk memberikan informasi kepada manajemen
tentang hubungan ukuran target yang ditentukan perusahaan (Key Goal
Indicator) dengan ukuran performa proses TI dalam mencapai target (Key
Performance Indicator). Berikut contohnya:
Gambar 2.9: Analisis Hubungan Kausal Key Goal Indicator & Key Performance Indicator pada DS5 Sumber: IT Governance Institue (2005, p23)
KPI Process Matric KGI
KPI IT Matric KGI
KPI Business MatricKGI
Activity Goal
Understand security requirements,
vulnerability, and threats
Process Goal
Detect and resolve unauthorized access to information, application
and infrastructure
IT Goal
Ensure IT service can resist and recover from
attacks
Is measured by
Frequency of review of the type of security
events to be monitored
Is measured by
Number of access violations
Is measured by
Number of actual incidents with business
impact
Business Goal
Maintain enterprise reputation and
leadership
Is measured by
Number of incidents causing public embarrassment
Impr
ove
and
real
ign
Define goals
Measu
re achievem
ent
Drive performance
drive
drive
drive
46