BAB 2 LANDASAN TEORI 2.1 Teknologi Informasi 2.1.1 ...thesis.binus.ac.id/Asli/Bab2/2008-2-00437-MNSI...

BAB 2

LANDASAN TEORI

2.1 Teknologi Informasi

2.1.1 Definisi Teknologi Informasi

Pearlson dan Carol (2004, p329) menjabarkan definisi teknologi

informasi sebagai :

“... all forms of technology used to create, store, excange and use information”. “... segala bentuk teknologi digunakan untuk membuat, menyimpan, mengubah dan menggunakan informasi”.

O’Brien dan George (2006, p559) mendefinisikan teknologi informasi

sebagai:

“...hardware, software, telecommunications, database management, and other information processing technologies used in computer-based information system”. “...perangkat keras, perangkat lunak, telekomunikasi, manajemen basis data, dan teknologi pemrosesan informasi lainnya yang digunakan dalam komputer berbasis sitem informasi”.

Berdasarkan penjabaran di atas, definisi teknologi informasi dapat

diartikan sebagai semua bentuk teknologi berupa perangkat keras, perangkat

lunak, telekomunikasi, manajemen basis data, dan teknologi lainnya yang

digunakan untuk membuat, menyimpan, mengubah dan menggunakan

informasi dengan menggunakan komputer berbasis sistem informasi.

8

2.1.2 Arsitektur Teknologi Informasi

Arsitektur teknologi informasi (TI) yang lahir dari strategi bisnis/proses

perencanaan TI merupakan sebuah rancangan konsep atau blueprint yang di

dalamnya mencakup 4 komponen sebagai berikut (O’Brien dan George, 2006,

p480):

1. Platform teknologi (Technology Platform)

Internet, intranet, extranet dan jaringan lainnya, sistem komputer, sistem

perangkat lunak dan aplikasi perangkat lunak perusahaan terintegrasi yang

menyediakan infrastruktur komunikasi dan komputasi, atau platform, yang

mendukung strategi penggunaan TI bagi e-business, e-commerce dan bisnis

lainnya/aplikasi TI.

2. Sumber data (Data Resources)

Banyak tipe operasional dan spesialisasi basis data termasuk data

warehouse dan database internet/intranet, menyimpan dan menyediakan

data dan informasi untuk proses bisnis dan pendukung keputusan.

3. Arsitektur Aplikasi (Application Architecture)

Aplikasi bisnis TI dirancang sebagai sebuah arsiterktur yang terintegrasi

atau portofolio sistem perusahaan yang mendukung perencanaan strategi

bisnis, seperti proses bisnis cross-functional. Sebagai contoh, sebuah

arsitektur aplikasi harus meliputi dukungan bagi pengembangan dan

pemeliharaan aplikasi rantai suplai perusahaan, dan apliklasi perencanaan

sumber daya perusahaan & customer relationship management yang

terintegrasi.

9

4. Organisasi TI (IT Organization)

Struktur organisasi fungsi sistem informasi dalam sebuah perusahaan dan

distribusi spesialis sistem informasi dirancang untuk mempertemukan

perubahan strategi bisnis. Bentuk organisasi TI tergantung pada filosofi

manajerial dan formulasi bisnis/strategi TI selama proses perencanaan

strategis.

2.1.3 Pengelolaan Teknologi Informasi

O’Brien dan George (2006, p478) mengemukakan sebuah pendekatan

yang populer dalam pengelolaan TI dalam perusahaan besar (gambar 2.1).

pendekatan manajerial tersebut terbagi dalam 3 komponen utama:

- Pengelolaan pengembangan bersama dan implementasi bisnis/strategi TI

(Managing the joint development and implementation of business/IT

strategies).

Pemikiran dari manajemen tingkat atas dikembangkan oleh manajer TI dan

para profesional, dengan menggunakan TI untuk mendukung prioritas

strategi bisnis dalam perusahaan. Proses bisnis/perencanaan TI ini

digabungkan dengan tujuan strategi bisnis. Dalam proses ini juga meliputi

evaluasi permasalahan bisnis untuk menelusuri pengembangan dan

implementasi dari setiap tujuan bisnis/proyek dalam TI.

- Pengelolaan pengembangan dan implementasi bisnis/aplikasi TI baru dan

teknologi (Managing the development and implementation of new

business/IT applications and technologies).

Pengelolaan pada bagian ini merupakan tanggung jawab dari manajemen

tingkat atas. Dalam manajemen TI, lingkup ini melibatkan pengelolaan

10

proses pengembangan dan implementasi sistem informasi, berikut tanggung

jawab dalam meneliti strategi bisnis dengan TI yang baru.

- Pengelolaan organisasi TI dan infrastruktur TI (Managing the IT

organization and IT infrastructure).

Manajer TI bertanggung jawab dalam mengelola tugas bagi para IT

professional yang secara khusus mengorganisasikannya dalam berbagai tim

proyek dan sub unit lainnya. Selain itu, manajer TI juga bertanggung jawab

dalam mengelola infrastruktur TI yang meliputi perangkat keras, perangkat

lunak, basis data, jaringan telekomunikasi, dan sumber daya TI lainnya,

yang harus diperoleh, dioperasikan, dimonitor, dan dipelihara.

Gambar 2.1: Komponen utama pengelolaan TI Sumber: O’Brien dan George (2006, p478)

2.1.4 Kegagalan Dalam Pengelolaan TI ( IT Management Failure)

Mengelola TI bukan merupakan hal yang mudah. Fungsi sistem

informasi mempunyai masalah kinerja dalam banyak organisasi. Pengalaman

dari organisasi yang telah sukses mengungkapkan bahwa komposisi dasar

Information Technology

Management

Managing Application Development and

Technology

Managing the IT Organization and

Infrasturcture

Managing Business and

IT Strategy

11

kinerja sistem informasi yang berkualitas tinggi adalah pengelolaan yang luas

dan berarti keterlibatan pengguna dalam tata kelola dan pengembangan aplikasi

TI.

Pada banyak kasus, manfaat dari TI yang dijanjikan kadang tidak

terlaksana. Pembelajaran pada manajemen perusahaan konsultan dan riset

universitas menemukan banyak bisnis yang tidak berhasil dalam mengelola

penggunaan TI mereka. Kegagalan dalam pengelolaan TI terletak pada

penggunaan TI yang tidak efektif dan efisien (O’Brien dan George, 2006,

p486), seperti:

- TI tidak digunakan dengan efektif pada perusahaan yang menjadikan TI

sebagai tulang punggung dalam menjalankan proses bisnis tradisionalnya,

seperti pengembangan proses inovasi e-business yang melibatkan

pelanggan, pemasok, dan bisnis lainnya.

- TI tidak digunakan dengan efisien pada sistem informasi yang memberikan

respon waktu yang lama dan sering mengalami downtime, atau para

profesional sistem informasi dan konsultan yang tidak mengelola proyek

pengembangan aplikasi dengan tepat.

2.2 Pengendalian

2.2.1 Definisi Pengendalian

IT Governance Institute (2005, p15) mendefinisikan pengendalian

sebagai:

” ... the policies, procedures, practices and organizational structures designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented or detected and corrected.”

12

“ ... kebijakan, prosedur, praktek dan struktur yang didesain untuk menyediakan arahan-arahan untuk memastikan agar sasaran bisnis dan tujuan organisasi dapat tercapai, sehingga hal-hal yang tidak diinginkan dapat dicegah atau diditeksi dan diperbaiki.”

Bateman dan Scott ( 2004, p490) menuliskan definisi pengendalian

sebagai:

“ ... any process that directs the activities of individuals toward the achievement of organizationals goals.” “ ... segala proses yang mengantarkan aktivitas individu kepada pencapaian sasaran secara organisasional.”

Spafford (2004, http://itmanagement.earthweb.com/netsys/article.php/

3439901) memberikan pengertian pengendalian sebagai:

” ... mechanisms that keep IT in check in terms of delivering value and managing risk.” “ ... mekanisme yang menjaga peran TI pada pencapaian nilai dan

manajemen resiko.”

Berdasarkan penjabaran di atas, dapat disimpulkan bahwa pengendalian

merupakan kebijakan, prosedur, praktek, dan proses yang menyediakan arahan-

arahan terhadap aktivitas individu untuk memastikan supaya sasaran bisnis dan

tujuan organisaasi dapat tercapai, sehingga hal-hal yang tidak diinginkan dapat

dicegah dan diperbaiki. Di samping itu, dalam ruang lingkup TI, pengendalian

akan lebih bermanfaat apabila diposisikan sebagai suatu mekanisme yang

mengarahkan TI dalam pencapaian nilai dan mengelola resiko.

2.2.2 Siklus Pengendalian (Control Cycle)

Menurut Bateman dan Scott (2004, p491-494) terdapat 4 langkah utama

dalam proses pengendalian (Gambar 2.2), yaitu: (1) Menetapkan standar

13

kinerja (setting performace standards), (2) Mengukur kinerja (measuring

performance), (3) Membandingkan kinerja dengan standar (comparing

performance against the standards and determining deviations), dan (4)

Melakukan langkah perbaikan (taking corrective action).

Langkah 1: Menetapkan standar kinerja (Setting performance

standards).

Setiap organisasi mempunyai tujuan: laba, inovasi, kepuasan pelanggan, dan

lainnya. Sebuah standar diartikan sebagai tingkat dari kinerja yang diharapkan

untuk mencapai tujuan-tujuan tersebut. Standar diartikan sebagai tingkat dari

kinerja yang diharapkan untuk mencapai tujuan-tujuan tersebut.standar kinerja

dapat dirancang dengan memperhatikan aspek: kuantitas, kualitas waktu, dan

biaya.

Langkah 2: Mengukur kinerja (Measuring performance).

Data mengenai kinerja dapat diperoleh melaului 3 sumber: laporan tertulis,

laporan lisan, dan observasi personil. Laporan tertulis berupa hasil print-out

komputer. Laporan lisan berupa serangkaian pertanyaan untuk memperoleh

informasi tambahan atau dapat pula melalui diskusi. Dengan cara diskusi,

memungkinkan diperoleh masukan perbaikan sementara yang dapat dilakukan.

Observasi personil dilakukan dengan pengamatan pada area aktivitas dimana

kegiatan berlangsung.

Langkah 3: Membandingkan kinerja dengan standar (Comparing

performance with the standard).

Pada langkah ini dilakukan evaluasi terhadap kinerja. Dalam langkah ini,

diperlukan analisis dan evaluasi hasil dengan cermat. Pengecualian (principle

14

of exception) dilakukan apabila pengendalian memerlukan pengecualian yang

khusus. Hal ini difokuskan hanya pada kasus pengecualian yang membutuhkan

tingkat perbaikan yang sangat minimal sesuai kebijaksanaan dan ketentuan

khusus dengan tujuan penghematan waktu dan tenaga.

Langkah 4: Melakukan langkah perbaikan (Taking corrective action).

Bagian ini dilakukan untuk memastikan bahwa kegiatan penting yang telah

dirancang akan sesuai dengan hasil yang telah direncanakan sebelumnya.

Tindakan perbaikan yang tepat bergantung pada masalah yang dihadapi.

Tindakan ini dapat melibatkan perubahan prosedur atau metode, sikap yang

lebih disiplin, dilakukannya cara-cara baru dalam pengecekan, atau modifikasi

organisasi secara keseluruhan. Apabila diperlukan, dapat juga dilakukan

dengan diadakannya pelatihan.

Gambar 2.2: Proses Pengendalian Sumber: Bateman dan Scott (2004, p492)

Set performance

standards

Measure performance

Compare

Determine deviation

Take corrective action

Standards Within limits

Continue work progress

No Yes

15

2.2.3 Pendekatan Pengendalian

Terdapat 3 pendekatan untuk pengendalian birokratis, yaitu:

feedforward control, concurrent control, dan feedback control.

Feedforward control (sering disebut preliminary control) berorientasi

masa depan. Mengambil bagian sebelum kegiatan operasi dilakukan, meliputi

kebijakan, prosedur, dan aturan yang dirancang untuk memastikan aktivitas

perencanaan dijalankan sesuai dengan yang telah ditetapkan. Tujuannya adalah

untuk mencegah teriadinya masalah di kemudian hari. Sebelum mendapatkan

hasil dan membandingkannya dengan tujuan. dapat dilakukan pengendalian

dalam lingkup yang terbatas.

Concurrent control mengambil bagian pada saat proses perencanaan

dijalankan, meliputi pengarahan, monitoring, dan kegiatan penyesuaian sesuai

dengan kinerja yang dihasilkan. Concurrent control bertujuan untuk

memastikan pekerjaan telah dilakukan dengan efektif dan mencegah terjadinya

kesalahan.

Feedback control berfokus pada penggunaan informasi mengenai hasil

yang telah dilakukan untuk mengambil tindakan perbaikan dengan

menggunakan standar yang telah ditetapkan. Data mengenai kinerja

dikumpulkan, dianalisa, dan hasilnya kemudian dilaporkan untuk dilakukan

tindakan perbaikan yang diperlukan.

2.3 COBIT

Control Objectives for Information and related Technology (COBIT) adalah

seperangkat best practices (kerangka) untuk pengelolaan teknologi informasi yang

16

diciptakan oleh Information Systems Audit and Control Association (ISACA) dan IT

Governance Institute (ITGI) pada tahun 1992 (Anonim, 2006,

http://en.wikipedia.org/wiki/COBIT).

COBIT merupakan seperangkat alat multi-guna bagi manajemen bisnis yang

dapat digunakan secara luas. COBIT memungkinkan pihak manajemen dalam

mengontrol cakupan aktivitas bisnisnya. COBIT berfungsi sebagai panduan yang dapat

digunakan oleh pihak manajemen dalam mencapai tujuan bisnisnya dan sebagai suatu

standar pembanding dalam mengevaluasi keberhasilan manajemen pada tujuan yang

spesifik. Di samping itu, COBIT juga membantu pihak manajemen dalam memahami

dan mengelola resiko-resiko yang berkaitan dengan TI. COBIT tidak hanya terbatas

digunakan bagi pihak manajemen saja, tetapi dapat pula digunakan oleh auditor dan

pihak eksternal. Auditor dapat menggunakan COBIT untuk mengevaluasi kelayakan

dalam melakukan pengendalian internal suatu organisasi. Pihak eksternal dapat

menggunakan COBIT untuk membuat perbandingan di antara organisasi (Yan, 1998,

http://www.theiia.org/ITAudit/index.cfm?act=itaudit.archive&fid=43 ).

Dikembangkan pada tahun 1996 oleh Information Systems Audit and Control

Association (ISACA) dan sekarang ini dipublikasikan dan dikelola oleh IT

Governance Institute (ITGI) sebagai sebuah kerangka kerja yang menyediakan

mekanisme pengendalian melalui domain-domain teknologi informasi (Symons, 2005,

p7).

Pada edisi keempat (dirilis tahun 2005), COBIT berisi pengembangan arahan

bagi tata kelola teknis yang lebih mendalam dan pembaruan dari edisi ketiga yang

memberikan referensi baru dengan standar internasional. Kerangka kerjanya

diperbarui dan ditambahkan untuk meningkatkan pengendalian, kinerja manajemen

17

tingkat atas dan berorientasi pada pengembangan tata kelola teknologi informasi

dengan menyediakan maturity model (model kedewasaan), high level control objective

(tingkatan pengendalian sasaran), key goal indicators (indikator kunci keberhasilan),

dan key performance indicators (indikator kunci kinerja) untuk pengelolaan TI.

COBIT memungkinkan pengembangan kebijakan yang jelas dan praktek yang

baik untuk pengendalian TI dalam organisasi secara keseluruhan. Di samping itu,

COBIT dirancang untuk menjadi alat tata kelola TI yang dapat membantu dalam

memahami dan mengelola resiko serta manfaat yang berkaitan dengara informasi dan

hubungannya dengan TI.

Gambar 2.3: Evolusi COBIT Sumber: Yulistia (2005, p28)

2.3.1 Misi COBIT

Misi COBIT menurut IT Governance Institue (2005, p6) adalah:

"provides good practices across a domain and process framework and present activities in a manageable and logical structure."

18

“menyediakan konsep yang baik melalui sebuah domain dan memproses kerangka kerja dan menampilkan segala aktivitas ke dalam sebuah struktur yang dapat dikelola dan logis.”

COBIT menyediakan para manajer, auditor, dan para pengguna TI

seperangkat ukuran yang berlaku umum, indikator, proses, dan praktek terbaik

(best practice) untuk membantu dalam memaksimalkan manfaat yang diperoleh

melalui penggunaan teknologi informasi dan pengembangan tata kelola TI

yang sesuai dan memberikan pengendalian dalam sebuah organisasi (Anonim,

2006, p1, http://en.wikipedia.org/wiki/COBIT).

2.3.2 Kerangka Kerja COBIT

Kerangka kerja (framework) COBIT merupakan sebuah model

pengelolaan TI, yang dapat digunakan sebagai acuan dalam menentukan

sasaran pengendalian (control objective) dan proses TI yang diperlukan dalam

penerapan tata kelola TI pada suatu organisasi. Kerangka kerja COBIT

merupakan kumpulan praktek terbaik dan bersifat generik. Oleh karena itu

dalam menerapkan kerangka kerja COBIT harus disesuaikan dengan kebutuhan

pengelolaan dan proses TI yang berlangsung dalam organisasi tersebut.

2.3.2.1 Konsep Kerangka Kerja COBIT

Ada dua jenis model kendali yang dapat diterapkan untuk

pengelolaan TI, yaitu model kendali bisnis (business controls model,

COSO) dan model kendali TI (IT focused control model ITIL), COBIT

mencoba untuk menjembatani gap dari kedua jenis kendali tersebut.

COBIT diarahkan untuk lebih comprehensive digunakan oleh pihak

19

manajemen, sehingga COBIT tidak hanya berperan sebagai standar

pengelolaan TI tapi juga dapat digunakan sebagai alat bagi manajemen

puncak dalam merumuskan kebijakan strategis TI.

Dasar pemikiran kerangka kerja COBIT berawal dari kebutuhan

organisasi terhadap informasi diperlukan untuk memenuhi kebutuhan-

kebutuhan bisnisnya, untuk mendapatkan informasi tersebut diperlukan

sumber daya TI yang memadai, yang akan digunakan oleh proses TI

terkait.

Gambar 2.4: Prinsip pemenuhan kebutuhan bisnis organisasi Sumber: IT Governance Institue (2005, p12)

Informasi yang dihasilkan harus sesuai dengan kriteria yang

dibutuhkan, mencakup aspek kualitas (quality), kepercayaan (fiduciary).

dan keamanan (security). COBIT mendefinisikan kriteria-kriteria

informasi tersebut sebagai berikut:

1. Efektifitas (effectiveness).

Kesesuaian TI yang diterapkan dengan kebutuhan dari proses bisnis

(tepat, konsisten, dan dapat digunakan).

20

2. Efisiensi (efficiency).

Penggunaan sumber daya secara optimal.

3. Kerahasiaan (confidentiality).

Keamanan informasi organisasi dari gangguan pihak-pihak yang tidak

bertanggung jawab.

4. lntegritas (integrity).

Keakuratan, kelengkapan. dan validitas informasi terhadap ekspetasi

dari nilai bisnis.

5. Ketersediaan (availability).

Ketersediaan informasi yang dibutuhkan oleh proses bisnis di masa

sekarang dan yang akan datang. Kriteria ini berhubungan dengan

keamanan sumber daya TI yang penting.

6. Pemenuhan (compliance).

Ketaatan terhadap hukum, regulasi, dan kesepakatan kontrak.

7. Kehandalan informasi (reliability of information).

Ketepatan/ketersediaan informasi bagi manajemen untuk mendukung

pekerjaannya.

Kendali-kendali harus diterapkan pada setiap proses TI dalam

organisasi, dengan tujuan memastikan proses TI tersebut dapat berjalan

dan output yang dihasilkan sesuai dengan harapan dan kebutuhan bisnis.

Untuk memastikan kelayakan dan efektifitas dari kendali yang diterapkan

dan hasilnya sesuai dengan pengendalian sasaran (control objectives)

21

yang telah ditetapkan, kendali-kendali tersebut harus diawasi dan dinilai

secara regular.

Gambar 2.5: Konsep framework COBIT Sumber: IT Governace Institue (2005, p25)

22

2.3.2.2 Tingkatan Kerangka Kerja COBIT

Kerangka kerja COBIT terdiri dari 3 tingkatan. Dimulai dari tingkat

yang paling bawah merupakan kumpulan aktivitas (activities) dan tugas

(tasks). Aktivitas merupakan kegiatan rutin yang memiliki konsep daur-

hidup, sedangkan tugas merupakan kegiatan terpisah yang memiliki awal-

akhir dan bersifat tidak rutin. Aktivitas dan tugas memiliki tipikal

kebutuhan kendali yang berbeda. Pada tingkat berikutnya terdapat proses

yang merupakan kumpulan aktivitas dan tugas. Pada tingkat paling tinggi,

proses-proses tersebut dikelompokkan ke dalam domain permasalahan

pengelolaan TI.

Gambar 2.6: Tingkat control objectives COBIT Sumber: IT Governace Institue (2005, p25)

Kerangka kerja COBIT terdiri dari 34 proses TI, yang terbagi ke

dalam 4 domain pengelolaan. secara keseluruhan konsep kerangka kerja

COBIT dapat dilihat seperti kubus, sebagai berikut:

23

Gambar 2.7: Kubus COBIT Sumber: IT Governace Institue (2005, p25)

2.3.3 Tujuan Pengendalian COBIT

Menurut IT Governace Institute (2005, p15) tujuan pengendalian TI

didefinisikan sebagai suatu pernyataan dari hasil yang diinginkan atau tujuan

yang ingin dicapai dengan menerapkan prosedur-prosedur kendali dalam

aktivitas TI tertentu.

Kunci untuk mempertahankan keuntungan dalam lingkungan teknologi

yang kian berubah dapat dilihat dari seberapa baiknya penguasaan dalam

melakukan kendali. Control objectives COBIT menyediakan pandangan kritis

yang dibutuhkan untuk memberikan kebijakan yang jelas dan praktek yang

baik dalan melakukan kendali Tl (Anonim, 2006,

http://en.wikipedia.org/wiki/COBIT).

24

Tabel 2.1: COBIT Control Objectives

Sumber: Yulistia (2005, p20)

Pengendalian yang diterapkan pada setiap proses TI berpengaruh pada

pemenuhan kebutuhan bisnis yang berbeda dengan tingkat pengaruh yang

berbeda pula. Pengaruh dari kendali yang diterapkan terhadap kriteria

informasi (kebutuhan bisnis) dikategorikan sebagai berikut:

l. Primary (P).

Tujuan pengendalian yang diterapkan (control objective) berpengaruh secara

langsung terhadap pemenuhan kriteria informasi/kebutuhan bisnis terkait.

2. Secondary (S).

Tujuan pengendalian yang diterapkan (control objective) secara tidak langsung

dapat mempengaruhi pemenuhan kriteria informasi/kebutuhan bisnis terkait.

25

3. Blank.

Tujuan pengendalian yang diterapkan (control objective) tidak mempengaruhi

pemenuhan kriteria informasi/kebutuhan bisnis terkait terkait.

Supaya proses TI dapat berjalan sesuai dengan harapan, proses TI

tersebut harus didukung dengan ketersediaan sumber daya TI yang memadai.

Setiap proses TI memerlukan sumber daya TI yang berbeda. COBIT

mengelompokan sumber daya-sumber daya TI yang akan digunakan dalam

proses TI seperti berikut:

l. Data.

Seluruh jenis data, baik yang terstruktur atau tidak terstruktur dan dalam

berbagai bentuk (gambar, suara, dan sebagainya).

2. Sistem aplikasi (application system).

Prosedur yang diterapkan dalam organisasi baik prosedur manual atau prosedur

terkomputasi (aplikasi komputer).

3. Teknologi (technology).

Mencakup perangkat keras, sistem operasi, jaringan komputer multimedia, dan

lain-lain.

4. Fasilitas (facilities).

Seluruh sumber daya yang dimanfaatkan untuk menyimpan dan mendukung

sistem informasi.

5. Sumber daya manusia (people).

Mencakup kemampuan staff, dan berbagai pihak yang terlibat dalam

pengaturan. pengadaan, pemenuhan layanan, pengawasan, dan mendukung

layanan dan sistem informasi.

26

Bagian utama COBIT adalah ke-34 control objectives (Tabel 2.1).

Control objectives tersebut dikelompokkan dalam 4 domain, yaitu: planning

and organization, acquisition and implementation, delivery and support, dan

monitoring and evaluate sebagai berikut :

- Perencanaan dan Pengorganisasian (Planning and Organization).

Domain ini mencakup strategi dan taktik yang menyangkut identifikasi

tentang bagaimana TI dapat memberikan kontribusi terbaik dalam

pencapaian tujuan bisnis organisasi sehingga terbentuk sebuah organisasi

yang baik dengan infrastruktur teknologi yang baik pula. Termasuk di

dalamnya strategi dan taktik yang digunakan TI untuk mencapai sasaran

bisnis, perencanaan strategi, strategi komunikasi, strategi manajemen,

manajemen resiko, dan manajemen sumber daya yang menjamin bahwa

kebutuhan infrastruktur teknologi dan sumber daya manusia berada pada

sasaran yang tepat.

- Akuisisi dan Implementasi (Aquisition and Implementation).

Untuk mencapai sejumlah strategi, terlebih dahulu harus mengidentifikasi,

mengembangkan atau memperoleh, dan melakukan implementasi pemecahan

masalah terhadap proses-proses bisnis. Di samping itu, harus pula

memperhatikan daur hidup (life cycle) dari sistem yang telah ada melalui

pemeliharaan, peningkatan. dan penyelesaian pada tahap akhir.

- Layanan dan Dukungan (Delivery and Support).

Pada sebagian besar level dasar, TI memberikan layanan kepada para

penggunanya (user). Domain ini berfokus pada layanan dari masalah

dukungan yang mencakup performance dan keamanan, dan juga pelatihan.

27

- Pengawasan dan Evaluasi (Monitoring and Evaluate).

Semua proses TI membutuhkan penilaian secara rutin mengenai kualitas dan

pencapaian dengan kebutuhan-kebutuhan pengendalian. Domain monitoring

berhubungan dengan tanggung jawab manajemen dalam proses pengendalian

organisasi.

2.3.3.1 Control Objective DS1 (Define and Manage Service Levels)

DS1 menurut IT Governance Institute (2005, p103-104),

membahas seputar service level agreement. Yang dimaksud dengan

service level agreement disini adalah layanan-layanan yang diberikan

oleh suatu organisasi kepada penggunanya, siapa penggunanya, dan hal-

hal lain yang berkaitan dengan pemberian layanan. Hal-hal yang

berkaitan dengan control objectives dari COBIT sendiri pada DS1 -

Define and Manage Service Levels sebagai berikut:

o Kerangka kerja pengelolaan tingkat pelayanan (Service level

management framework)

o Definisi pelayanan (Definition of service)

o Perjanjian mengenai tingkat pelayanan (Service level agreements)

o Perjanjian mengenai tingkat pengoperasian (Operating level

agreements)

o Pengawasan dan pelaporan perjanjian tingkat pelayanan (Monitoring

and reporting of service level agreement)

o Peninjauan kembali perjanjian dan kontrak tingkat pelayanan (Review

service level agreements and contracts)

28

2.3.3.2 Tujuan Pengendalian DS2 (Manage Third Party Service)


membahas seputar hubungan perusahaan dengan layanan-layanan yang

diberikan oleh pihak ketiga. Yang dimaksud dengan pihak ketiga disini

adalah pihak yang ikut serta dalam memberikan layanan teknologi

informasi di perusahaan akan tetapi bukan merupakan bagian dari

perusahaan tersebut. Setiap perusahaan tidak mungkin menyediakan

seluruh layanan-layanannya sendiri. Layanan-layanan ini terkadang

disediakan dengan bantuan dari pihak ketiga, oleh karena itu perlu

didefinisikan pedoman-pedoman yang mengatur masalah ini. Hal-hal

yang berkaitan dengan control objectives dari COBIT sendiri untuk DS2 -

Manage Third Party Service sebagai berikut:

o Pengidentifikasi hubungan kerjasama para penyuplai (Identification

of all supplier relationship)

o Pengelolaan hubungan kerja sama bagi para penyuplai (Supplier

relationship management)

o Pengelolaan resiko para penyuplai (Supplier management risk)

o Pengawasan kinerja para penyuplai (Supplier performance

monitoring)

2.3.3.3 Tujuan Pengendalian DS3 (Manage Performance and Capacity)


membahas bagaimana suatu perusahaan menjaga performansi dan

kapasitas dari layanan teknologi informasi yang ditawarkannya kepada

29

penggunanya agar perusahaan tersebut dapat tetap menjaga kualitas

layanannya. Kualitas layanan memang sudah seharusnya dijaga oleh

suatu perusahaan untuk menjaga nama baiknya sehingga tidak

ditinggalkan penggunannya. Pihak manajemen dari perusahaan tersebut

sebaiknya menaruh perhatian juga pada hal ini sehingga dapat ditangani

dengan baik. Beberapa control objective dari DS3 - Manage Performance

and Capacity antara lain sebagai berikut:

o Perencanaan performa dan kapasitas (Performance and capacity

planning)

o Performa dan kapasitas pada saat ini (Current capacity and

performance)

o Performa dan kapasitas pada masa depan (Future capacity and

performance)

o Ketersediaan sumber daya (Resource availability)

o Pengawasan dan pelaporan (Montoring and reporting)

2.3.3.4 Tujuan Pengendalian DS4 (Ensure Continuous Service)


membahas kepastian akan keberlangsungan layanan teknologi informasi.

Layanan teknologi informasi yang diberikan oleh suatu perusahaan,

terlepas dari masalah mutu, sebaiknya harus tetap berlanjut dalam kondisi

yang buruk sekalipun. Dengan kata lain sebaiknya pihak manajemen

mengantisipasi setiap kejadian-kejadian buruk yang dapat mengakibatkan

keberlangsungan layanan teknologi informasi terputus. Pada dasarnya

30

kemungkinan terputusnya layanan teknologi informasi karena beberapa

kejadian-kejadian buruk ini dapat diperkecil dengan tindakan manajemen

yang baik. Control objective dari DS4 - Ensure Continuous Service

adalah sebagai berikut:

o Kerangka kerja keberlangsungan TI (IT continuity framework)

o Rencana keberlangsungan TI (IT continuity plans)

o Sumber daya TI yang penting (Critical IT resources)

o Pemeliharaan rencana keberlangsungan TI (Maintenance of IT

continuity plan)

o Uji coba terhadap rencana keberlangsungan TI (Testing of IT

continuity plan)

o Pelatihan perencacanaan keberlangsungan TI (IT continuity plan

training)

o Pendistribusian perencanaan keberlangsungan TI (Distribution of IT

continuity plan)

o Perbaikan dan pemulaian kembali pelayanan TI (IT service recovery

and resumption)

o Penempatan penyimpanan cadangan (Offsite backup storage)

o Peninjauan terhadap aktifitas setelah pemulaian kembali (Post-

resumption review)

2.3.3.5 Tujuan Pengendalian DS5 (Ensure System Security)


membahas dua permasalahan komponen keamanan yaitu keamanan per

31

individu pengguna dan keamanan jaringan internal dari ancaman luar.

Keamanan per individu pengguna layanan teknologi informasi adalah

keamanan login dari tiap-tiap individu pengguna dari pengguna lain. Di

sini dibahas masalah bagaimana suatu login pengguna hanya digunakan

oleh pengguna itu sendiri dan hanya digunakan untuk tujuan-tujuan yang

tidak mengganggu pengguna lainnya ataupun merusak sistem layanan

teknologi informasi. Keamanan ini termasuk di dalamnya penggunaan

perangkat lunak antivirus dan firewall. Contoh objective dari DS5 -

Ensure System Security antara lain yaitu:

o Pengelolaan keamanan TI (Management of IT security)

o Perencanaan keamanan TI (IT security plan)

o Pengelolaan kegiatan identifikasi (Identify management)

o Pengelolaan wewenang akses para pengguna (User account

management)

o Uji coba keamanan, pengamatan dan pengawasan (Security testing,

surveillance and monitoring)

o Pendefinisian insiden keamanan (Security incident definition)

o Perlindungan teknologi keamanan (Protection of security technology)

o Pengelolaan kunci kriptografik (Cryptographic key management)

o Perlindungan, pendeteksian dan koreksi terhadap perangkat lunak

(Malicious software prevention, detection and correction)

o Keamanan jaringan (Network security)

o Penggantian data yang bersifat sensitif (Exchange of sensitive data)

32

2.3.3.6 Tujuan Pengendalian DS6 (Identify and Alocate Costs)


membahas seputar biaya dari layanan teknologi informasi dari suatu

perusahaan. Pengoperasian dari layanan-layanan teknologi informasi

pasti memerlukan biaya. Jadi, COBIT dalam hal ini menekankan bahwa

biaya-biaya dari pengoperasian layyanan ini dikelola dengan baik oleh

manajemen perusahaan. Control objective dari DS6 - Identify and Alocate

Costs bisa dilihat sebagai berikut:

o Pendefinisian pelayanan (Definition of service)

o Akuntansi TI (IT accounting)

o Pemenuhan dan pemodelan biaya (Cost modelling and charging)

o Pemeliharaan model biaya (Cost model maintenace)

2.3.3.7 Tujuan Pengendalian DS7 (Educate and Train Users)


merupakan suatu proses yang mengkhususkan perhatiannya pada

pengelolaan pengguna karena sumber daya yang dilibatkan pada proses

ini hanyalah manusia saja. Proses ini mengusahakan agar pengguna dari

layanan teknologi informasi yang ditawarkan oleh perusahaan dapat

digunakan secara optimal. Penggunaan secara optimal di sini maksudnya

adalah agar pengguna mengerti layanan-layanan yang diberikan oleh

perusahaan dan pengguna dapat menggunakannya sesuai dengan

kebutuhannya. Control objective dari DS7 - Educate and Train Users

antara lain:

33

o Pengidentifikasian kebutuhan pelatihan dan pendidikan (Identification

of education and training needs)

o Pendistribusian pelatihan dan pendidikan (Delivery training and

education)

o Evaluasi pencapaian pelatihan (Evaluation of training received)

2.3.3.8 Tujuan Pengendalian DS8 (Manage Service Desk and Incidents)


merupakan sebuah proses yang menyajikan wadah dimana pengguna

menyatakan keluhan-keluhan terhadap layanan yang dipakainya. Dalam

hal ini termasuk juga prosedur-prosedur penangan yang baik dalam

menyelesaikan keluhan-keluhan tersebut. Control objective dari DS8 -

Manage Service Desk and Incidents dapat dijabarkan sebagai berikut:

o Service desk

o Pencatatan pertanyaan pelanggan (Registration of customer queries)

o Pencatatan permasalahan (Incident escalation)

o Penutupan permasalahan (Incident closure)

o Analisis tren (Trend analysis)

2.3.3.9 Tujuan Pengendalian DS9 (Manage the Configurations)


membahas pada 2 hal, yaitu pencatatan aset teknologi informasi yang

dimiliki dan pencatatan informasi mengenai konfigurasi yang digunakan.

Suatu perusahaan perlu untuk mengetahui aset-aset apa saja yang

34

dimilikinya untuk menghindarinya dari kehilangan dan kejadian-kejadian

merugikan lainnya, sedangkan pencatatan konfigurasi yang digunakan

adalah sebagai standar dari konfigurasi aset-aset teknologi informasi yang

dimiliki dan apabila ada kejadian yang menyebabkan konfigurasi sistem

pun menjadi lebih mudah. Control objective dari DS9 - Manage the

Configurations sendiri dapat dilihat sebagai berikut:

o Konfigurasi tempat penyimpanan (Configuration repository and

baseline)

o Pengidentifikasi dan pemeliharaan konfigurasi (Identification and

maintenance of configuration item)

o Peninjauan ulang integritas konfigurasi (Configuration integrity

review)

2.3.3.10 Tujuan Pengendalian DS10 (Manage Problems)

DS10 menurut IT Governance Institute (2005, p139-140), adalah

manajemen permasalahan dan insiden. Sebenarnya manajemen ini mirip

dengan yang dilakukan pada DS4. perbedaannya terletak pada waktu,

DS4 merupakan manajemen untuk mencegah atau memperkecil

kemungkinan terjadinya suatu permasalahan sedangkan DS10 adalah

manajemen hal-hal yang sebaiknya dilakukan apabila insiden atau

permasalahan telah terjadi. Hal seperti ini penting untuk dikelola agar

penanganan suatu permasalahan atau insiden dapat diselesaikan dengan

cepat. Control objective dari DS10 – Manage Problem yang dijabarkan

sebagai berikut:

35

o Pengidentifikasian dan pengklasifikasian permasalahan (Identification

and classification of problems)

o Pengamatan dan penelusuran permasalahan (Problem tracking and

resolution)

o Penutupan permasalahan (Problem closure)

o Pengintegrasian perubahan, konfigurasi dan pengelolaan

permasalahan (Integration of change, configuration and problem

management)

2.3.3.11 Tujuan Pengendalian DS11 (Manage Data)


merupakan suatau proses pengelolaan sumber daya teknologi informasi

khususnya data. Data merupakan suatu sumber daya penting dalam suatu

perusahaan, oleh karena itu diperlukan pedoman-pedoman dalam

mengelola data mulai dari pemasukan, penggunaan, pembuangan,

perubahan, pemeliharaan, serta proses-proses data lainnya. Beberapa

control objective dari DS11 - Manage Data adalah sebagai berikut:

o Pengelolaan data dari kebutuhan-kebutuhan bisnis (Business

requirements for data management)

o Pengaturan penyimpanan (Storage and retention arrangements)

o Sistem pengelolaan media pustaka (Media library management

system)

o Penanganan (Disposal)

36

o Pembuatan cadangan data dan proses penyimpanan kembali (Backup

and restoration)

o Pengelolaan data dari kebutuhan keamanan (Security requirements for

data management)

2.3.3.12 Tujuan Pengendalian DS12 (Manage the Physical Environment)


merupakan suatu proses pengelolaan fasilitas fisik penyedia layanan

teknologi informasi. Sumber daya teknologi informasi yang dikelola

dalam proses ini hanyalah fasilitas. Suatu perusahaan sebaiknya

mengelola fasilitas-fasilitas yang dimilikinya dengan baik agar fasilitas-

fasilitas tersebut terpelihara dengan baik sehingga mampu memberikan

layanan dengan kualitas yang baik pula. Control objective dari DS12 -

Manage the Physical Environment bisa dilihat sebagai berikut:

o Penempatan dan pemilihan rancangan (Site and selection layout)

o Pengukuran keamanan fasilitas (Phsycal security measure)

o Akses penggunaan fasilitas (Physical access)

o Perlindungan terhadap ancaman faktor-faktor lingkungan (Protection

against environtment factors)

o Pengelolaan fasilitas (Physical facilities management)

2.3.3.13 Tujuan Pengendalian DS13 (Manage Operation)


merupakan suatu proses yang berhubungan erat dengan pekerjaan

37

administrator atau operator teknologi informasi dari suatu perusahaan.

Proses ini mencakup perihal prosedur pengoperasian, pencatatan aktivitas

pengoperasian, sampai penjadwalan kerja staf. Control objectives dari

DS13 - Manage Operation antara lain sebagai berikut:

o Instruksi dan prosedur operasi (Operation procedures and

instructions)

o Penjadwalan kerja (Job shceduling)

o Pengawasan infrastruktur TI (IT infrastructure monitoring)

o Dokumen yang sifatnya sensitif dan alat-alat yang menghasilkannya

(Sensitive documents and output devices)

o Pemeliharaan terhadap perangkat keras (Preventive maintenance for

hardware)

2.3.4 Model Tingkat Kedewasaan (Capability Maturity Model) COBIT

Menurut Indrajit (2004, http://www.ebizzasia.com/0214-

2004/q&a,0214.html) pendekatan yang sering digunakan untuk menilai tingkat

optimalisasi penerapan teknologi informasi adalah dengan menggunakan

Capability Maturity Model yang pada mulanya diperkenalkan oleh Software

Engineering Institute (Carnegie-Mellon University) dan kemudian

dikembangkan oleh Information Technology Governance Institute dalam

metode COBIT, dimana tingkat kematangan manajemen sistem dan teknologi

informasi dapat dibagi menjadi 6 (enam) level, yaitu:

38

0 – Tidak ada (Non-Existent)

Perusahaan tidak mengelola dan tidak menerapkan proses tata kelola TI.

Perusahaan bahkan sama sekali belum mengetahui tentang pengelolaan TI dan

tidak tersedia komunikasi mengenai hal tersebut.

1 – Permulaan/untuk tujuan tertentu saja (Initial/Ad-Hoc)

Organisasi telah mengetahui tentang tata kelola TI dan menyadari perlunya

melakukan pengelolaan TI, tetapi belum tersedia proses yang distandarisasi.

Perusahaan hanya memiliki pendekatan yang didasarkan pada individu

tertentu. Pendekatan untuk manajemen belum terkelola dan jarang dilakukan.

Komunikasi dalam hal pendekatan untuk manajemen dan penyelesaian

terhadap permasalahan yang ada tidak dilakukan secara konsisten. Tidak

tersedia proses untuk pengukuran standar, dan perhatian pada TI hanya

diterapkan sebagai reaksi atas kegagalan yang mengakibatkan kerugian bagi

perusahaan.

2 – Pengulangan (Repeatable but Intuitive)

Perusahaan telah menyadari kebutuhan akan pentingnya tata kelola TI. Telah

tersedia kegiatan tata kelola TI dan indikator pengukuran kinerja dalam tahap

pengembangan, yang meliputi perencanaan, pelaksanaan, dan pengawasan TI.

Pengelolaan TI secara formal dikaji dan dilibatkan dalam manajemen

perubahan dengan dukungan dari manajemen senior. Beberapa proses TI secara

selektif diidentifikasi untuk meningkatkan atau mengendalikan proses inti

perusahaan, direncanakan secara efektif, dijadikan sebagai bagian dari

investasi, dan digambarkan dalam suatu kerangka kerja arsitektur TI. Pihak

manajemen telah mengetahui ukuran dasar untuk pengelolaan TI, tetapi proses

39

tersebut belum diaplikasikan secara menyeluruh dalam perusahaan. Tidak

tersedia pelatihan formal dan komunikasi tentang standar untuk tata kelola TI.

Tanggung jawab proses tata kelola dalam berbagai proyek dan proses dalam TI

dikendalikan oleh individu.

3 – Terdefinisi (Defined Process)

Kebutuhan akan adanya tata kelola TI telah disadari dan diketahui perusahaan.

Sekumpulan aturan untuk indikator dasar tata kelola TI telah direncanakan.

Hubungan antara ukuran hasil dan kinerja telah terdefinisi dengan jelas,

tersedia dokumentasi dan terintegrasi dengan perencanaan strategi, operasional,

dan pengawasan. Prosedur yang tersedia telah distandarisasi, didokumentasi

dan diterapkan. Pihak manajemen telah mengkomunikasikan standar untuk

prosedur dan pelatihan-pelatihan telah dilakukan secara informal. Namun,

implementasinya diserahkan pada setiap individu, sehingga kemungkinan

penyimpangan yang terjadi kadang tidak terdeteksi. Prosedur telah

dikembangkan sebagai bentuk formalisasi dari praktek yang ada.

4 – Terkelola dan terukur (Managed and Measurable)

Hal mengenai tata kelola TI telah dipahami oleh seluruh bagian dan didukung

dengan adanya pelatihan secara formal. Pelayanan kepada pelanggan telah

dipahami secara jelas dan diawasi dengan adanya kesepakatan pelayanan.

Pembagian tanggung jawab sudah terbagi secara jelas. Proses dalam TI

diselaraskan dengan kebutuhan bisnis dan strategi TI. Peningkatan terhadap

proses TI didasarkan terutama atas ukuran yang telah ada dan memungkinkan

dilakukannya pengawasan untuk mengukur kesesuaian antara prosedur yang

40

ada dengan proses yang dilakukan. Semua pihak yang terlibat dalam proses

memahami resiko, pentingnya TI, dan peluang yang dapat diciptakan oleh TI.

5 – Teroptimalkan (Optimized)

Pemahaman terhadap masalah dan solusi mengenai tata kelola TI sudah sangat

mendalam dan berorientasi ke depan. Perusahaan lebih responsif dalam

menghadapi kompetensi bisnis. Pelatihan dan komunikasi didukung oleh

teknik dan konsep yang terbaik. Proses yang ada telah disempurnakan hingga

tahapan eksternal untuk praktek terbaik berdasarkan pada hasil peningkatan

yang terus menerus dan perbandingan model maturity dengan perusahaan lain.

Implementasi kebijakan ini menuntun perusahaan individu, dan proses yang

dilakukan dapat mengadaptasi tata kelola TI dengan cepat dan mendukung

kebutuhan secara menyeluruh.

Panduan dalam COBIT tidak menyertakan cara pengukuran untuk

Maturity Model. Penilaian untuk pengukuran Maturity Model akan

menggunakan metode yang dikemukakan oleh Pederiva (2003, p2-3) dengan

langkah-langkah sebagai berikut:

1. Rentang jawaban dibagi menjadi 4 skala yaitu: 1 – 2 – 3 – 4 dengan nilai

pemenuhan (compliance value) dengan bobot 0 hingga 1 (0, 0.33, 0.66, 1).

Bobot dari nilai pemenuhan ini menunjukkan tingkat persetujuan terhadap

satu pernyataan, seperti tertera pada tabel sebagai berikut:

Tabel 2.2: Compliance value untuk persetujuan atas pernyataan

Skala Jawaban atas pernyataan

Nilai pemenuhan (compliance value)

1 Tidak setuju 0

41

2 Kurang setuju 0.33 3 Setuju 0.66 4 Sangat setuju 1

2. Nilai pemenuhan dari masing-masing level untuk setiap jawaban

dijumlahkan, kemudian dihitung maturity level compliance value dengan

cara membagi total nilai pemenuhan pada masing-masing level [A] dengan

jumlah pernyataannya [B], seperti pada contoh berikut ini:

Tabel 2.3: Contoh perhitungan maturity level compliance value

Maturity level [M]

Total nilai pemenuhan [A]

Jumlah pernyataan [B]

Maturity level compliance value

[A/B] 0 0.00 2 0.00 1 0.00 9 0.00 2 3.00 6 0.50 3 8.63 11 0.78 4 6.97 9 0.77 5 6.31 8 0.79

3. Masing-masing dari maturity level compliance value [C] kemudian dibagi

dengan total keselurhan maturity level compliance value, sehingga

diperoleh normalized maturity level compliance, seperti pada contoh di

bawah ini:

Tabel 2.4: Contoh perhitungan normalized maturity level compliance value

Maturity level [M]

Maturity level compliance value [C]

Normalized maturity level compliance value

(C/Sum[C]) 0 0.00 0.000 1 0.00 0.000 2 0.50 0.176 3 0.78 0.275 4 0.77 0.272 5 0.79 0.277

Total: 2.84 1

42

4. Masing-masing dari maturity level [M] kemudian dikalikan dengan

normalized maturity level compliance value yang bersangkutan [D],

sehingga diperoleh kontribusi untuk setiap maturity level, seperti pada

contoh berikut ini:

Tabel 2.5: Perhitungan nilai akhir maturity level

Maturity level [M]

Normalized Maturity level compliance value

[D]

Kontribusi ([M] x [D])

0 0.000 0.00 1 0.000 0.00 2 0.176 0.35 3 0.275 0.83 4 0.272 1.09 5 0.277 1.38 Total maturity level: 3.65

Nilai akhir yang diperoleh (pada contoh diatas adalah 3.65)

menggambarkan kondisi maturity level yang dicapai perusahaan adalah pada

level 3.65.

Maturity model dibuat sebagai dasar ukuran untuk mengetahui sejauh

mana satu organisasi memiliki kendali terhadap satu sasaran teknologi

informasi tertentu. Dengan maturity model, organisasi dapat dengan mudah

melihat posisi saat ini serta menentukan target posisi atau kondisi apa yang

ingin dicapai di masa mendatang.

Dengan menggunakan kerangka kerja yang telah disediakan COBIT,

setiap perusahaan dapat melakukan kajian terhadap tingkat kematangan

manajemen teknologi informasinya. Semakin optimal perusahaan dalam

mengelola sumber daya teknologi informasinya, akan semakin tinggi nilai

akhir tingkat kematangan yang diperoleh.

43

Gambar 2.8: Grafik Maturity Model Sumber: IT Governace Institue (2005, p19)

2.4 Manajemen

2.4.1 Pengertian Manajemen

Dalam bukunya, Bateman dan Scott (2004, p14) mendefinisikan

manajemen sebagai :

“the process of working with people and resources to accomplish organizational goals.”

“suatu proses bekerja bersama manusia dan sumberdaya lainnya untuk

memenuhi sasaran organisasional.” Sedangkan menurut Madura (2001, p13), manajemen adalah cara

bagaimana karyawan dan sumber lain (seperti mesin-mesin) digunakan oleh

perusahaan.

Berdasarkan pengertian diatas, manajemen dapat diartikan suatu proses

bagaimana bekerja bersama manusia dan sumberdaya lainnya untuk memenuhi

sasaran organisasional.

44

Manajemen sering dilakukan dengan alat bantu atau alat pengukur.

penggunaan alat bantu tersebut bertujuan untuk mempermudah para manajer

untuk merancang rencana, menganalisa situasi dan kondisi perusahaan atau

industri pada umumnya, yang kesemuanya berhilir pada pengambilan

keputusan yang tepat.

2.4.2 Key Performance Indicator (KPI) dan Key Goal Indicator (KGI)

Menurut IT Governance Institute (2005, p23) Key Performance Indicator

merupakan ukuran-ukuran yang membantu penentuan seberapa baik proses

teknologi informasi diselenggarakan dalam mencapai sasaran.

Sedangkan Key Goal Indicator dalam definisi IT Governance Institute

(2005, p23) berarti ukuran-ukuran yang memberi gambaran kepada pihak

manajemen apakah suatu proses teknologi informasi telah memenuhi

kebutuhan bisnis.

Kedua indikator ini dirancang untuk mengetahui apa saja faktor-faktor

penggerak performa, pendefinisian sasaran, pengukuran pencapaian,

peningkatan dan penyelaraasan. Matrik yang efektif adalah matrik yang

mempunyai karakteristik sebagai berikut:

• Menampilkan wawasan atau informasi yang luas atau berkualitas

• Dapat dibandingkan secara internal (ditunjukkan dengan persentase

atau angka-angka)

• Dapat dibandingkan secara eksternal tanpa melihat ukuran perusahaan

atau industri

45

• Lebih baik jika menampilkan sedikit matrik yang baik daripada banyak

matrik dengan kualitas informasi yang rendah

• Mudah diukur dan tidak membuat bingung

2.4.3 Analisis Hubungan Kausal Key Goal Indicator & Key Performance

Indicator

Analisis ini berfungsi untuk memberikan informasi kepada manajemen

tentang hubungan ukuran target yang ditentukan perusahaan (Key Goal

Indicator) dengan ukuran performa proses TI dalam mencapai target (Key

Performance Indicator). Berikut contohnya:

Gambar 2.9: Analisis Hubungan Kausal Key Goal Indicator & Key Performance Indicator pada DS5 Sumber: IT Governance Institue (2005, p23)

KPI Process Matric KGI

KPI IT Matric KGI

KPI Business MatricKGI

Activity Goal

Understand security requirements,

vulnerability, and threats

Process Goal

Detect and resolve unauthorized access to information, application

and infrastructure

IT Goal

Ensure IT service can resist and recover from

attacks

Is measured by

Frequency of review of the type of security

events to be monitored

Is measured by

Number of access violations

Is measured by

Number of actual incidents with business

impact

Business Goal

Maintain enterprise reputation and

leadership

Is measured by

Number of incidents causing public embarrassment

Impr

ove

and

real

ign

Define goals

Measu

re achievem

ent

Drive performance

drive

drive

drive

46

BAB 2 LANDASAN TEORI 2.1 Teknologi Informasi 2.1.1 ...thesis.binus.ac.id/Asli/Bab2/2008-2-00437-MNSI...

Documents

Transcript of BAB 2 LANDASAN TEORI 2.1 Teknologi Informasi 2.1.1 ...thesis.binus.ac.id/Asli/Bab2/2008-2-00437-MNSI...