UNIVERSITAS INDONESIA EVALUASI DAN ANALISIS …lib.ui.ac.id/file?file=digital/20330033-TA-Husnul...

UNIVERSITAS INDONESIA

EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATAKELOLA TEKNOLOGI INFORMASI:

STUDI KASUS PT BURSA EFEK INDONESIA

KARYA AKHIR

HUSNUL HIDAYAT1106121780

FAKULTAS ILMU KOMPUTERPROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI

JAKARTAJANUARI 2013

Evaluasi dan analisis ..., Husnul Hidayat, Fasilkom UI, 2013

UNIVERSITAS INDONESIA

EVALUASI DAN ANALISIS TINGKAT KEMAPANAN TATAKELOLA TEKNOLOGI INFORMASI:

STUDI KASUS PT BURSA EFEK INDONESIA

KARYA AKHIRDiajukan sebagai salah satu syarat untuk memperoleh gelar

Magister Teknologi Informasi

HUSNUL HIDAYAT1106121780

FAKULTAS ILMU KOMPUTERPROGRAM STUDI MAGISTER TEKNOLOGI INFORMASI

JAKARTAJANUARI 2013


iv

KATA PENGANTAR

Tak ada kata yang terucap selain Syukur Alhamdulillah atas segala petunjuk,

pertolongan, kemudahan, kasih sayang, dan ridho Allah SWT, sehingga penulis

dapat menyelesaikan laporan tugas akhir dengan judul “Evaluasi dan Analisis

Tingkat Kemapanan Tata Kelola Teknologi Informasi. Studi Kasus PT Bursa Efek

Indonesia”, yang merupakan salah satu syarat kelulusan pada Program Studi

Sistem Informasi, Fakutas Teknologi Informasi, Institut Teknologi Sepuluh

Nopember Surabaya.

Tugas Akhir ini takkan pernah terwujud tanpa dukungan, saran, dan bantuan dari

berbagai pihak. Pada kesempatan ini penulis menyampaikan ucapan terima kasih

kepada semua pihak yang telah membantu penulis baik dalam pelaksanaan tugas

akhir hingga selesainya penyusunan laporan tugas akhir ini. Ucapan terima kasih

penulis sampaikan kepada:

Bapak Budi Yuwono dan Bapak Alex Ferdinansyah, selaku dosen

pembimbing penulis atas segala ketulusan dalam membimbing, membagi

ilmu, juga motivasi dan semangat selama perkuliahan dan proses

mengerjakan tugas akhir.

Bapak Yudho Giri Sucahyo, Ph.D dan Dr. Eko. K Budiarjo selaku dosen

penguji yang telah memberikan kritik dan saran yang membangun untuk

membuat karya akhir ini menjadi lebih baik

Bapak Direktur TMR dan rekan-rekan Divisi SDM yang telah memberikan

beasiswa selama saya menempuh kuliah S2 di MTI UI.

Bapak M Fadlol Basori (alm) dan Ibu Mufidah, atas segala kasih sayang,

doa yang tiada henti, kepercayaan dan dukungan penuh yang selalu dapat

memberi motivasi. Semoga Husnul selalu dapat melakukan yang terbaik

untuk Bapak & Ibu. Amin.

Istri ku yang tercinta Afin Tri Pamungkas, atas pengertian, kasih saying,

doa, dan dukungan penuh yang selalu dapat memberi motivasi. Semoga

setelah berakhirnya kuliah ini akan bertambah waktu luangku untuk

bersama keluarga kecil kita.


v

Bapak Mertua dan Ibu Mertua, Cak Punk, Mbak Lina, Cak Basit, Mbak

Yanti, Ponakan-ponakan ku (Ama, Rizqi, Fela, Bintang, Tristan dan

Fadhil) serta seluruh keluarga besar yang selalu memberikan dukungan

dan semangat.

Atasan dan rekan-rekan kerja di kantor, Bapak Abdul Munim, Bapak

Budhi, Bapak Isman, Bapak Inang, Bapak Bhayu, Mas Rakhman, Mbak

Henny dan teman-teman yang lain, terima kasih atas dukungannya dan

bersedia mendengar keluh kesah mengenai mengenai membagi waktu

antara pekerjaan, kuliah dan keluarga.

Buat teman-teman kelas SCMTI 2011-2012, terutama buat Sonya dan

Harry yang hamper selalu jadi temen sekelompok, terima kasih atas segala

pertemanan & persahabatan selama ini dan semoga tidak akan berhenti

sampai kapan pun. Semoga selalu sukses y.

Semoga kebaikan yang telah diberikan dibalas oleh Allah SWT.

Akhirnya penulis menyadari masih banyak kekurangan dalam Tugas Akhir ini.

Untuk itu penulis mengharapkan adanya kritik dan saran yang dapat

menyempurnakan Tugas Akhir ini. Harapan penulis, semoga Tugas Akhir ini

dapat bermanfaat bagi pembaca.

Jakarta, Januari 2013

Penulis


vii Universitas Indonesia

2 ABSTRAK

Nama : Husnul HidayatProgram Studi : Magister Teknologi InformasiJudul : Evaluasi dan Analisis Tingkat Kemapanan Tata Kelola

Teknologi Informasi: Studi Kasus PT Bursa Efek Indonesia

Teknologi informasi (TI) diyakini sebagai pendukung utama dalam perkembanganpasar modal, untuk itu dibutuhkan adanya pengelolaan TI yang baik yangdilandasi dengan adanya tata kelola yang mengacu kepada standard dan bestpractice IT governance. Penelitian ini mencoba memberikan evaluasi,rekomendasi dan program jangka pendek yang dapat dilakukan untukmeningkatkan tingkat kemapanan tata kelola di PT Bursa Efek Indonesia (BEI).Hal ini dilakukan untuk meminimalkan downtime dan meningkatkan layanankepada pelanggan agar kepuasan dan kepercayaan dari pelanggan terus terjagasehingga pada akhirnya diharapkan volume perdagangan dapat terus meningkat.Pada penelitian ini evaluasi tingkat kemapanan tata kelola dilakukan berdasarkanframework Cobit 4.1, setelah dilakukan evaluasi akan disusun rekomendasiperbaikannya serta disusun program jangka pendek untuk meningkatkan tingkatkemapanan sesuai harapan PT BEI. Pada penelitian ini juga memanfaatkanmetode IT risk management untuk mengetahui tingkat risiko yang dapatditimbulkan jika rekomendasi perbaikan tidak dilakukan. Berdasarkan hasilevaluasi dapat diketahui jika perusahaan direkomendasikan untuk melakukanperbaikan prosedur dan pengembangan aplikasi untuk meningkatkan awarenessdan efektifitas operasional.

Kata Kunci:Tata kelola, Cobit 4.1, Tingkat kemapanan, IT Risk Management


viii Universitas Indonesia

3 ABSTRACT

Nama : Husnul HidayatProgram Studi : Master of Information TechnologyJudul : Evaluation and Analysis of Maturity Level Information

Technology Governance. Case Study: Indonesia StockExchange

Information technology (IT) is believed to be a mojor driver for capital market, itis necessary to have good IT management which based on it governance that cancomply to IT governance standards and best practice. This research was trying toevaluate, give recommendation and short-term program to improve the maturitylevel of IT governance in Indonesia Stock Exchange (IDX). The purpose is tominimize downtime and to improve customer satisfaction and maintain their beliefand finally the volume of trading will increase. In this research, the evaluation ofmaturity level is based on framework COBIT 4.1, after the evaluation will begiven recommendations for improvement and create short-term program toimprove the maturity level as expected by PT IDX. In this research also utilizes ITrisk management methods to determine the level of risk that may appear if therecommendations are not implemented. Based on the evaluation results could beknown that the company was recommended to improve the procedures anddevelop application to increase awareness and operational effectiveness.

Keywords:IT governance, Cobit 4.1, Maturity level, IT Risk Management


ix Universitas Indonesia

4 DAFTAR ISI

HALAMAN PERNYATAAN ORISINALITAS.............................................................. ii

HALAMAN PENGESAHAN ............................................................................................. iii

KATA PENGANTAR .......................................................................................................... iv

PERNYATAAN PERSETUJUAN PUBLIKASI KARYA ILMIAH UNTUKKEPENTINGAN AKADEMIS....................................................................................... vi

ABSTRAK .............................................................................................................................vii

ABSTRACT..........................................................................................................................viii

DAFTAR ISI...........................................................................................................................ix

DAFTAR GAMBAR ............................................................................................................xii

DAFTAR TABEL ................................................................................................................xiii

BAB I PENDAHULUAN.................................................................................................. 1

1.1 Latar Belakang ............................................................................................... 1

1.2 Perumusan Masalah........................................................................................5

1.3 Tujuan Penelitian............................................................................................ 9

1.4 Manfaat Penelitian.......................................................................................... 9

1.5 Ruang Lingkup Penelitian ............................................................................10

BAB II LANDASAN TEORI .......................................................................................... 11

2.1 Tata Kelola Teknologi Informasi .................................................................11

2.2 Cobit versi 4.1 .............................................................................................. 14

2.3 Cobit Maturity Model...................................................................................17

2.4 ITIL versi 3...................................................................................................24

2.5 Manajemen Risiko........................................................................................27

2.6 Framework NIST .........................................................................................28

BAB III METODOLOGI PENELITIAN ........................................................................ 33

3.1 Metodologi ...................................................................................................33

3.2 Framework Penelitian...................................................................................36

BAB IV PROFIL PERUSAHAAN .................................................................................. 37

4.1 Tata Kelola Organisasi .................................................................................40

4.2 Struktur Organisasi.......................................................................................42


x Universitas Indonesia

BAB V ANALISIS DAN PEMBAHASAN................................................................... 45

5.1 Metode untuk Assessment Penerapan Tata Kelola TI..................................45

5.2 Pengukuran Kemapanan Tata Kelola ........................................................... 52

5.2.1 DS1 Define and Manage Service Level ................................................56

5.2.2 DS2 Manage Third Party Services .......................................................59

5.2.3 DS3 Manage Performance and Capacity .............................................63

5.2.4 DS4 Ensure Continuous Service ........................................................... 66

5.2.5 DS5 Ensure System Security .................................................................70

5.2.6 DS6 Identify and Allocate Cost............................................................. 73

5.2.7 DS7 Educate and Train Users .............................................................. 75

5.2.8 DS8 Manage Service desk and Incidents ..............................................78

5.2.9 DS9 Manage Configuration ..................................................................81

5.2.10 DS10 Manage Problem.........................................................................84

5.2.11 DS11 Manage Data ..............................................................................87

5.2.12 DS12 Manage The Physical Environment ............................................90

5.2.13 DS13 Manage Operations ....................................................................93

5.2.14 Nilai Kemapanan untuk domain DS .....................................................97

5.3 Rekomendasi Perbaikan ...............................................................................98

5.4 Risk Assessment untuk Menentukan Prioritas Rekomendasi......................103

5.5 Validasi Rekomendasi ................................................................................107

5.6 Pembuatan Program ...................................................................................113

BAB VI KESIMPULAN DAN SARAN ...................................................................... 117

6.1 Kesimpulan.................................................................................................117

6.2 Saran...........................................................................................................119

Referensi.............................................................................................................................. 121

Lampiran 1 Wawancara..................................................................................................... 123

Lampiran 2 Penyesuaian SOP Pemeliharaan Sistem ..................................................... 129

Lampiran 3 Penyesuaian SOP Capacity Management .................................................. 137

Lampiran 4 Penyesuaian SOP Incident Management ................................................... 138

Lampiran 5 Tingkat Saverity Incident ............................................................................. 142

Lampiran 6 Penyesuaian SOP Backup Rutin ................................................................. 143


xi Universitas Indonesia

Lampiran 7 Penyesuaian Form Backup Rutin ................................................................ 145


xii Universitas Indonesia

5 DAFTAR GAMBAR

Gambar 1.1 Remote Trading.........................................................................................2Gambar 1.2 IT Strategic Impact Grid (APPLEGATE, 2009) .......................................3Gambar 1.3 Maturity Level Cobit pada tahun 2010 dan tahun 2011............................ 5Gambar 1.4 Fishbone diagram penyebab adanya gap tingkat kemapanan ...................8Gambar 2.1 Fokus Utama IT Governance ..................................................................13Gambar 2.2 Kerangka kerja COBIT 4.1 .....................................................................17Gambar 2.3 Matury Model Cobit................................................................................18Gambar 2.4 Kerangka kerja ITIL versi 3 ....................................................................27Gambar 2.5 Framework Risk manajemen NIST 800-30 ............................................28Gambar 3.1 Tahapan Penelitian ..................................................................................33Gambar 3.2 Framework penelitian..............................................................................36Gambar 4.1 Struktur Organisasi BEI ..........................................................................42Gambar 4.2 Struktur Direktorat TMR.........................................................................43


xiii Universitas Indonesia

6 DAFTAR TABEL

Tabel 1.1 Maturity Level Proses pada Domain DS pada Tahun 2011 .......................... 6Tabel 2.1 Unsur-Unsur Tata Kelola TI .......................................................................12Tabel 2.2 Maturity Attribute .......................................................................................21Tabel 2.3 Template Risk Assessment...........................................................................32Tabel 4.1 Sejarah Perkembangan BEI ........................................................................37Tabel 5.1 Analisis SOP Divisi Operasi TI ..................................................................46Tabel 5.2 Maturity Attribute .......................................................................................46Tabel 5.3 Assessment Maturity Level DS1 define and manage service level .............56Tabel 5.4 Assessment Maturity Level DS2 Manage Third Party Services .................60Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity .......63Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service .....................67Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security ........................... 70Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost.......................73Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users ........................76Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents ......79Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration .......................... 82Tabel 5.12 Assessment Maturity Level DS10 Manage Problem.................................85Tabel 5.13 Assessment Maturity Level DS11 Manage Data.......................................88Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment ....91Tabel 5.15 Assessment Maturity Level DS13 Manage Operations............................. 94Tabel 5.16 nilai maturity level pada domain DS.........................................................97Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute........................................98Tabel 5.18 Rekapan Rekomendasi............................................................................102Tabel 5.19. Klasifikasi Dampak Manajemen Risiko BEI .........................................103Tabel 5.20. Klasifikasi likelihood Manajemen Risiko BEI ......................................104Tabel 5.21 Risk Matrix .............................................................................................. 104Tabel 5.22 Risk Assessment.......................................................................................104Tabel 5.23 Validasi Hasil Rekomendasi ...................................................................108Tabel 5.24 Supplier Management .............................................................................113Tabel 5.25 Capacity Management ............................................................................114Tabel 5.26 Incident Management..............................................................................114Tabel 6.1 Usulan Rekomendasi.................................................................................117Tabel 9.1. Sistem score ............................................................................................. 132Tabel 9.2. Kategori hasil evaluasi .............................................................................132


1 Universitas Indonesia

1 BAB I

PENDAHULUAN

1.1 Latar Belakang

Dalam beberapa tahun terakhir industri pasar modal semakin berkembang,

perkembangan industri pasar modal ini dapat dilihat dari volume perdagangan

yang semakin meningkat. Hal ini tentunya menuntut adanya layanan yang

semakin baik terutama dari PT Bursa Efek Indonesia (BEI) selaku fasilitator

perdagangan saham dan surat utang. Guna menunjang kegiatan perdagangan

dengan volume perdagangan yang tinggi ini, terutama pada saat awal sesi

perdagangan dan pada akhir sesi perdagangan, diperlukan adanya fasilitas

perdagangan yang andal. Hal ini mutlak dibutuhkan karena selain volume

perdagangan yang semakin meningkat, perdagangan saham juga harus dilakukan

secara real time.

Dalam menyediakan fasilitas perdagangan yang andal tentunya dibutuhkan

adanya peranan teknologi informasi (TI) yang baik. Pada saat ini kegiatan

perdagangan sangat tergantung pada ketersediaan TI dalam operasional dan

pengembangannya, hal ini dikarenakan pada saat ini semua kegiatan perdagangan

dibantu oleh sistem perdagangan yang dinamakan “Jakarta Automated Trading”

System (JATS). Pada sistem JATS menyediakan fasilitas bagi investor untuk

melakukan perdagangan dari jarak jauh (remote trading) sehingga investor tidak

perlu lagi datang ke lantai bursa (floor trading) untuk membeli atau menjual

saham seperti jaman dahulu, tetapi saat ini investor bisa melakukan kegiatan jual

beli saham dari kantor Anggota Bursa (broker).


2

Universitas Indonesia

Gambar 1.1 Remote Trading

Mengingat begitu vitalnya peranan TI di PT BEI maka sistem TI yang

terdapat di PT BEI harus mempunyai ketahanan yang baik (realible), kapasitas

yang besar dan dan performa yang tinggi karena perdagangan dilakukan secara

real time. Sistem TI yang ada dituntut untuk mempunyai availability yang tinggi

sehingga kegiatan perdagangan dapat terus berlangsung. Adanya down time

sistem TI walaupun hanya sebentar akan menimbulkan kerugian yang besar bagi

pelaku bisnis di pasar modal. Untuk mewujudkan ketersediaan yang tinggi,

tentunya sistem TI tersebut harus didukung dengan adanya adanya infrastruktur

yang realible, aplikasi TI yang handal, personil TI yang memadai dan adanya tata

kelola TI yang baik guna memberikan arahan dalam mengelola operasional dan

pengembangan TI.

Jika merujuk pada matrik Richard Nolan dan F. Warren McFarlan yang

dapat dilihat dalam buku “Corporate Information Strategy and Management”

(linda applegate, 2009), peran TI di PT BEI pada saat ini sudah dapat

diketegorisasikan dalam factory mode. Hal ini tentunya berbeda dengan kondisi


3


pada akhir tahun 1990-an, dimana peranan TI masih sebagai support yang

berfungsi mendukung kegiatan perkantoran saja, sedangkan kegiatan perdagangan

masih dilakukan secara manual.

Gambar 1.2 IT Strategic Impact Grid (APPLEGATE, 2009)

Semakin meningkatnya peranan TI telah disadari oleh management PT

BEI, oleh karena itu sejak tahun 2007 pimpinan tertinggi TI adalah sorang

direktur, sejajar dengan pimpinan core bisnis di PT BEI. TI berada dibawah

Direktur Teknologi Informasi dan Manajemen Risiko (TMR), yang dijabat oleh

Bapak Adikin Basirun. Direktorat TMR terdiri dari 3 Divisi, yaitu: Divisi Operasi

Teknologi Informasi, Divisi Pengembangan Teknologi Informasi dan Divisi

Manajemen Risiko. Berikut ini akan dijabarkan secara singkat mengenai tugas dan

fungsi dari ketiga Divisi tersebut.

1. Divisi Operasi Teknologi Informasi (OTI)

Mempunyai tugas untuk menjalankan operasional TI dan menjaga

ketersediaan sistem TI.

2. Divisi Pengembangan Teknologi Informasi (PTI)

Mempunyai tugas untuk melakukan pengembangan sistem TI dan

manajemen proyek.

3. Divisi Manajemen Risiko (MRI)

3



















manajemen proyek.


3



















manajemen proyek.



4


Mempunyai tugas untuk menyusun profil risiko TI, monitoring risiko dan

pengembangan tata kelola TI.

Sejalan dengan visi dan misi perusahaan untuk menerapkan good

governance, pada direktorat TMR juga telah menerapkan IT Governance untuk

menjaga keselarasan antara tujuan TI dengan tujuan bisnis menjaga kualitas

pelayanan yang diberikan kepada core bisnis. Tata kelola yang diterapkan untuk

operasional di direktorat TMR telah coba untuk mengadopsi best practice yang

terdapat pada Information Technology Infrastructure Library (ITIL) versi 3 dan

Control Objectif for Information and Related Technology (Cobit) versi 4.1.

Beberapa prosedur yang telah diterapkan adalah:

1. Request Management

2. Incident Management

3. Problem Management

4. Change Management

5. Release Management

6. Configuration Management

7. Capacity Management

8. Pemeliharaan Perangkat

Adanya tata kelola TI yang baik sangat dibutuhkan oleh PT BEI dalam

menyediakan fasilitas perdagangan dan menjaga availability sistem selama proses

perdagangan berlangsung.

Oleh karena itu, PT BEI pada berusaha untuk melakukan penyempurnaan

tata kelola dan secara rutin melakukan assessment guna mengatahui tingkat tata

kelola yang ada pada saat ini. Hal ini dilakukan untuk meminimalkan downtime

dan meningkatkan layanan kepada pelanggan agar kepuasan dan kepercayaan dari

pelanggan terus terjaga sehingga pada akhirnya diharapkan volume perdagangan

dapat terus meningkat.


5


GAMBAR 1.3 Maturity Level Cobit pada tahun 2010 dan tahun 2011

1.2 Perumusan Masalah

Pada tahun 2013, pihak management dari PT BEI telah mencanangkan

target untuk meningkatkan tingkat kemapanan (maturity level) tata kelola

berdasarkan framework Cobit, terutama untuk domain Delivery dan Service (DS).

Pada domain tersebut diharapkan 75% dari 13 proses kerja yang tersedia

mempunyai tingkat kemapanan dengan nilai 4. Peningkatan tingkat kemapanan

lebih diutamakan pada domain DS karena:

1. Pada saat ini semua kegiatan perdagangan saham sudah dilakukan

dengan bantuan TI sehingga peranan TI sangat kritikal.

2. Peranan TI di PT BEI telah berada pada ketegorisasi factory mode

berdasarkan strategic impact grid (linda applegate, 2009). Oleh karena

itu dituntut adanya sistem TI yang availability yang tinggi dan

performa yang baik.

3. Adanya downtime dapat menyebabkan kerugian yang besar bagi

perusahaan pada khususnya dan industri pasar modal pada umumnya.


6


4. Service level agreement (SLA) yang dijanjikan kepada stakeholder

mencapai 99.75%.

5. Adanya gangguan pada sistem perdagangan pada akhir bulan Agustus

2012.

6. Dibutuhkan adanya suatu tata kelola yang baik untuk mengelola

operasional TI sehingga dapat memenuhi kebutuhan bisnis.

Sedangkan untuk domain yang lain yaitu domain Plan and Organise (PO),

domain Acquire and Implement (AI) dan domain Monitor and evaluate (ME),

akan ditingkatkan kemapanannya setelah domain DS.

Selanjutnya akan disampaikan data mengenai tinggkat kemapanan tata

kelola DI PT BEI berdasarkan hasil assessment yang telah dilakukan oleh salah

satu konsultan untuk 13 proses kerja pada domain DS pada tahun 2011. Data

secara lengkap dapat dilihat pada tabel 1.1.Tabel 1.1 Maturity Level Proses pada Domain DS pada Tahun 2011

No Proses kerja

Maturity level

2011

1 DS1-Define and manage service levels. 3.83

2 DS2-Manage third-party services. 3.17

3 DS3-Manage performance and capacity. 3.33

4 DS4-Ensure continuous service. 3.5

5 DS5-Ensure systems security. 3.17

6 DS6-Identify and allocate costs. 3.67

7 DS7-Educate and train users. 3

8 DS8-Manage service desk and incidents. 3.83

9 DS9-Manage the configuration. 3.17

10 DS10-Manage problems. 3.17

11 DS11-Manage data. 3.17

12 DS12-Manage the physical environment. 3.33

13 DS13-Manage operations. 3.67


7


Jika dilihat pada tabel diatas, dapat dilihat gap antara tingkat kemapanan

untuk 13 proses kerja pada domain DS di tahun 2011 dengan tingkat kemapanan

yang ditargetkan oleh pihak management pada tahun 2013.

Berdasarkan analisis yang dilakukan dalam keseharian di Divisi OTI dan

PTI, dapat diketahui bahwa adanya gap tingkat kemapanan disebabkan oleh

berapa hal, antara lain:

belum dilakukannya evaluasi rutin pelaksanaan prosedur

operasional,

kurangnya sosialisasi

kebutuhan pelatihan untuk peningkatan pengetahuan.

Detail perkiraan penyebab adanya gap tingkat kemapanan dapat dilihat

pada fishbone diagram berikut ini:


8


Adanya gap tingkat kematangan eksistingdengan target tingkat kematangan dari

Management

Prosedur

ToolsandAutomation

Belum tersedianyauser guide

Awareness and Communication

Personil TI

Masih kurangnya skill dan ekspertiseyang dimiliki

Kurangya sosialisasi dan awareness

Belum semua aktivitas TIdi dukung oleh aplikasi

Kurangnya training

Kurangnya pengalaman

Adanya prosedur yang belum disertaigoal dan measurement

Adanya prosedur yangkurang lengkap

Belum dilakukannya evaluasi rutin

Gambar 1.4 Fishbone diagram penyebab adanya gap tingkat kemapanan

Berdasarkan fishbone diagram di atas, dapat diketehui hal-hal yang jadi

penyebab adanya gap tingkat kemapanan. Untuk itu pada tugas akhir ini akan

dicoba memberikan rekomendasi perbaikan sehingga tingkat kemapanan tata

kelola dapat mencapai nilai tingkap kemapanan yang diinginkan oleh pihak

management.

Sesuai dengan penjelasan yang telah disampaikan pada bagian latar

belakang, dapat diketahui bahwa masih terdapat beberapa hal yang dapat

disempurnakan sehingga tingkat kemapanan tata kelola dapat mencapai nilai yang

diinginkan oleh pihak management. Oleh karena itu pada penelitian ini akan

diangkat permasalahan mengenai “Sejauh mana tingkat kemapanan tata kelola TI

untuk domain DS pada PT BEI menurut cobit 4.1 dan bagaimana langkah-langkah


9


yang applicable (selanjutnya akan disebut sebagai ”program”) untuk mencapai

tingkat kemapanan yang dijadikan target oleh PT BEI untuk meningkatkan

pelayanan kepada pelanggan sehingga dapat memberkan service level yang baik?”

1.3 Tujuan Penelitian

Tujuan yang ingin dicapai dalam penelitian ini adalah:

1. Mengetahui sejauh mana tingkat kemapanan tata kelola TI pada

domain DS pada PT BEI.

2. Mengidentifikasi prosedur yang perlu disempurnakan mengacu pada

tingkat kemapanan Cobit dan ITIL versi 3.

3. Memberikan rekomendasi perbaikan yang bisa dilakukan untuk

memingkatkan tingkat kemapanan mencapai level 4 untuk 75% proses

pada domain DS.

4. Membuat program jangka waktu pendek berdasarkan rekomendasi

perbaikan pada point 3. Program yang dibuat akan disesuaikan dengan

jangka waktu pengerjaannya.

1.4 Manfaat Penelitian

Manfaat yang akan didapatkkan dari penelitian ini adalah:

1. Manfaat akademis: dengan penelitian ini, diharapkkan akan menjadi

referensi dalam melakukan pengukuran dan peningkatan tingkat

kemapanan tata kelola TI pada suatu perusahaan financial khususnya

Pasar Modal.

2. Manfaat Praktis: hasil penelitian ini diharapkan dapat memberikan

sumbangan pemikiran bagi management untuk mengetahui sejauh

mana tingkat kemapanan eksisting dan mengetahui program yang

dapat dilakukan untuk mencapai tingkat kemapanan yang diharapkan

oleh PT BEI.


10


1.5 Ruang Lingkup Penelitian

Ruang lingkup dalam penelitian ini adalah sebagai berikut:

1. Penelitian ini dilakukan pada untuk mengetahui sejauh mana tingkat

kemapanan tata kelola TI pada domain DS di PT BEI. Data yang

dikumpulkan diperoleh dari data kualitatif, data kuantitatif,

mempelajari laporan bulanan, observasi dan wawancara dengan pihak-

pihak yang terkait dengan pembuatan dan pengelolaan prosedur.

Penelitian ini akan mengukur tingkat kemapanan menggunakan

framework Cobit versi 4.1

2. Pada penelitian ini, perbaikan prosedur akan disesuaikan dengan

framework Cobit versi 4.1 dan standard ITIL versi 3

3. Pada penelitian ini akan dicoba menerapkan program yang dapat

diimplementasi dalam jangka pendek (kurang lebih 2 bulan). Program

ini diharapkan dapat meningkatkan tingkat kemapanan yang ada pada

saat ini sehingga mencapai target PT BEI yaitu nilai 4 untuk 75%

proses yang terdapat di domain DS.

4. Penilaian tingkat kemapanan yang dilakukan berdasarkan nilai

maturity attribute cobit. Dalam hal ini bobot untuk setiap attribute

dianggap setara. Rekomendasi akan disusun sehingga nilai pada setiap

attribute mencapai nilai 4.



2 BAB II

LANDASAN TEORI

2.1 Tata Kelola Teknologi Informasi

Terdapat beberapa definisi mengenai Tata kelola teknologi informasi,

menurut Information Technology Governance Institute (ITGI, 2007), “Tata Kelola

TI adalah tanggung jawab dari board of Directors (BOD) dan eksekutif

management. Tata Kelola TI merupakan bagian dari tata kelola perusahaan dan

terdiri dari kepemimpinan, struktur organisasi dan proses yang memastikan bahwa

organisasi TI mendukung dan memperluas strategi organisasi dan tujuan

organisasi”.

Sedangkan menurut Van Grembergen (Van Grembergen, 2004), definisi

tata kelola TI adalah “IT Governance is the organizational capacity exercised by

the Board,Executive management and IT management to control the formulaton

and implementation of IT strategy and in this way ensure the fusion of business

and IT”.

Sedangkan menurut Petersen (Petersen, 2001), “IT Governance is the

system by which an organization’s IT portfolio is directed and controlled. IT

Governance describes the distribution of IT decision making rights and

responsabilities among different stakeholders in the organization, and the rules

and procedures for making and montoring decisions on strategic IT resources”.

Sedangkan menurut Weill & Ross (Weill & Ross, 2004), definisi tata

kelola TI adalah “Specifying the decision right and accountability framework to

encourage desireable beavior in the use of IT”.

Sedangkan menurut Luftman (Luftman, 1993), “IT Governance is the

degree to which the authority for making IT decisions is defined, and shared

among management, and the process managers in both IT and business

organizations apply in setting IT priorities and allocation of IT resources”.


12


Berdasarkan definisi-definisi yang telah disebutkan di atas, dapat dilihat

bahwa terdapat beberapa persamaan unsur pada tata kelola IT.Tabel 2.1 Unsur-Unsur Tata Kelola TI

ITGI Van

Grembergen

Petersen Weill &

Ross

Luftman

Leadership √ √

Decision making

structure

√ √ √ √

Process √ √ √

Resource management √ √ √

IT use for organization

objective

√ √ √

Mengacu pada tabel 2.1, menunjukkan bahwa tata kelola TI merupakan

bagian penting dari tanggung jawab BoD dan eksekutif management. Selain itu

tata kelola TI merupakan bagian yang dari tata kelola perusahaan (corporate

governance) serta mensyaratkan adanya kepemimpinan, struktur organisasi dan

proses yang memastikan bahwa organisasi TI mendukung dan memperluas

strategi organisasi serta tujuan organisasi.

Sejalan dengan definisi di atas, menurut ITGI terdapat lima fokus utama

pada tata kelola TI yang seluruhnya didorong oleh Stakeholder Value. Tiga focus

ang pertama merupakan faktor pendorong yaitu strategic alignment, resource

management dan performance measurement. Sedangkan 2 fokus yang lain adalah

hasil yang diinginkan yaitu value delivery dan risk management.


13


Gambar 2.1 Fokus Utama IT Governance

Penjelasan untuk masing-masing fokus akan dibahas secara lebih detail

pada bagian dibawah ini:

1. Strategic Alignment bertujuan untuk memastikan hubungan rencana

bisnis dan Ti dan menselaraskan operasi TI dengan operasi perusahaan. Hal ini

dapat dicapai jika TI dapat memberikan added value pada produk dan services,

memberikan alternative-alternatif solusi dalam persaingan bisnis, efisiensi biaya

operasional, meningkatkan kecepatan distribusi informasi. Keselarasan yang

inigin dibangun dimulai dari keselarasan arsitektur TI dengan visi dan misi

perusahaan sampai dengan keselerasan operasional TI dengan operasional bisnis.

2. Value Delivery mempunyai fokus pada aktivitas yang memberikan

nilai kepada bisnis dan memastikan bahwa investasi TI yang telah dilakukan dapat

memberikan keuntungan kepada perusahaan baik secara langsung maupun tidak

langsung serta berkonsentrasi pada optimalisasi biaya yang dikeluarkan

perusahaan untuk operasional.

3. Risk Management mempuyai fokus pada peningkatan kesadaran dan

pemahaman risiko, identifikasi risiko dan menanamkan tanggung jawab

manjemen risiko ke dalam organisasi. Hal ini dimaksudkan untuk menamkan

kesadaran kepada senior management mengenai adanya risiko yang harus

dihadapi, risiko-risiko tersebut harus diidentifikasi, melakukan mitigasi risiko

tersebut, apakah risiko tersebut akan di accept dan dicarikan alternatif solusi,


14


apakah di ignore karena dirasa tidak terlalu penting ataukah di transfer kepada

pihak lain untuk mengatasi risiko tersebut. Selain itu, risiko-risiko tersebut harus

selalu di monitoring dan di lakukan evaluasi berkala secara rutin.

4. Resource Management berfokus pada pemilihan investasi yang

optimal dan mengelola sumber daya TI (Sumber daya manusia, aplikasi,

infrastruktur dan informasi) dengan tepat. Isu utama dalam pengelolaan sumber

daya adalah peningkatan pengetahuan sumber daya manusia (knowledge) dan

penyediaan infrastruktur.

5. Performance Measurement mempunyai fokus pada tracking dan

monitoring implementasi dari strategi yang telah direncakan, penyelesaian proyek,

penggunaan sumber daya TI, dan kinerja layanan TI secara keseluruhan.

2.2 Cobit versi 4.1COBIT adalah sekumpulan dokumentasi best practices untuk IT

Governance yang dapat membantu auditor, pengguna (user), dan manajemen,

untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-

masalah teknis (Sasongko, 2009). COBIT mendukung tata kelola TI dengan

menyediakan kerangka kerja untuk mengatur keselarasan TI dengan bisnis. Selain

itu, kerangka kerja juga memastikan bahwa TI memungkinkan bisnis,

memaksimalkan keuntungan, risiko IT dikelola secara tepat, dan sumber daya TI

digunakan secara bertanggung jawab (Tanuwijaya, 2010).

Pada kerangka kerja Cobit versi 4.1 (ITGI, 2007) dibagi menjadi 4 domain

dan dari 4 domain tersebut akan dibagi menjadi 34 proses kerja. Berikut ini akan

dijelaskan mengenai 4 domain pada Cobit dan disebutkan 34 proses kerja yang

ada 4 domain tersebut.

1. Plan and Organise (PO), pada domain ini menitikberatkan pada

proses perencanaan dan penyelarasan strategi TI dengan strategi

perusahaan, mencakup masalah strategi, taktik dan identifikasi cara

terbaik IT untuk memberikan kontribusi maksimal terhadap

pencapaian tujuan bisnis organisasi. Proses kerja yang terdapat pada

domain PO adalah:


15


a. PO1 Define a strategic IT plan.b. PO2 Define the information architecture.c. PO3 Determine technological direction.d. PO4 Define the IT processes, organisation andrelationships.e. PO5 Manage the IT investment.f. PO6 Communicate management aims and direction.g. PO7 Manage IT human resourcesh. PO8 Manage quality.i. PO9 Asses and manage IT risks.j. PO10 Manage Projects.

2. Acquire and Implement (AI), Pada domain ini berkaitan dengan

implementasi solusi IT dan integrasinya dalam proses bisnis

organisasi, juga meliputi perubahan dan perawatan yang dibutuhkan

sistem yang sedang berjalan untuk memastikan daur hidup sistem

tersebut tetap terjaga. Proses kerja yang terdapat pada domain AI

adalah:

a. AI1 Identity automated solutions.

b. AI2 Acquire and maintain application software.

c. AI3 Acquire and maintain technology infrastructure.

d. AI4 Enable operation and use.

e. AI5 Procure IT resources.

f. AI6 Manage changes.

g. AI7 Install and accredit solutions and changes.

3. Deliver and Support (DS), pada domain ini mencakup proses

pemenuhan layanan IT, keamanan sistem, kontinyuitas layanan,

pelatihan dan pendidikan untuk pengguna, dan pemenuhan proses data

yang sedang berjalan. Proses kerja yang terdapat pada domain DS

adalah:

a. DS1 Define and manage service levels.


16


b. DS2 Manage third-party services.

c. DS3 Manage performance and capacity.

d. DS4 Ensure continuous service.

e. DS5 Ensure systems security.

f. DS6 Identify and allocate costs.

g. DS7 Educate and train users.

h. DS8 Manage service desk and incidents.

i. DS9 Manage the configuration.

j. DS10 Manage problems.

k. DS11 Manage data.

l. DS12 Manage the physical environment.

m. DS13 Manage operations.

4. Monitor and Evaluate (ME), pada domain ini berfokus pada masalah

kendali-kendali yang diterapkan dalam organisasi, pemeriksaan intern

dan ekstern dan jaminan independent dari proses pemeriksaan yang

dilakukan. Proses kerja yang terdapat pada domain ME adalah:

a. ME1 Monitor and evaluate IT performance.

b. ME2 Monitor and evaluate internal control.

c. ME3 Ensure regulatory compliance.

d. ME4 Provide IT governance.

Gambaran kerangka kerja Cobit versi 4.1 secara lengkap dapat dilihat pada

gambar dibawah ini:


17


Gambar 2.2 Kerangka kerja COBIT 4.1

2.3 Cobit Maturity ModelCobit menyediakan parameter untuk melakukan penilaian sebaik apa

pengelolaan IT pada suatu organisasi dengan menggunakan maturity models.

Cobit mempunyai model kematangan (maturity models) untuk mengontrol proses-

proses IT dengan menggunakan metode penilaian (scoring) sehingga suatu

organisasi dapat menilai proses-proses IT yang dimilikinya. Pada Cobit maturity

model mempunyai skala 6 level penilaian yang disebut maturity level, dari skala

non-existent sampai dengan optimised (dari 0 sampai 5). Berikut ini penjelasan

singkat untuk masing-masing level

1. Level 0 (Non-existent), pada level ini perusahaan belum melakukan

identifikasi atas proses TI. Perusahaan beranggapan hal tersebut

merupakan hal yang tidak perlu dipertimbangkan.

2. Level 1 (Initial/Adhoc), pada level ini perusahaan telah menyadari

bahwa terdapat beberapa proses TI yang telah berjalan. Proses-proses

TI tersebut berjalan tetapi dilakukan tanpa standar prosedur

operasional dan belum didokumentasikan.

3. Level 2 (Repeatable but intuitive), pada level ini proses TI yang

berjalan belum seluruhnya memiliki standar prosedur operasional.

Selain itu, proses sosialisasi atas standar prosedur tersebut belum


18


seluruhnya dilakukan dan dikomunikasikan secara formal kepada

personil terkait.

4. Level 3 (Defined process), pada level ini perusahaan telah memiliki

standar prosedur operasional dan terdokumentasi dengan baik serta

telah melakukan sosialisasi secara formal atas seluruh proses TI yang

berjalan.

5. Level 4 (Managed and Measurable), pada level ini perusahaan

melakukan pengawasan dan memastikan proses telah berjalan sesuai

prosedur dan kebijakan yang berlaku. Selain itu, perusahaan telah

melakukan penilaian dalam memastikan proses yang ada, telah

berjalan secara efektif. Penerapan proses yang terautomasi merupakan

salah satu pertimbangan penilaian pada level ini.

6. Level 5 (Optimized), pada level ini, proses-proses TI yang berjalan

telah mencapai tingkatan good practice. Hal ini dapat dinilai dari

keselarasan proses-proses TI dengan perubahan atau perkembangan TI

serta bisnis perusahaan. Seluruh proses TI telah terintegrasi dan

memiliki proses yang telah terautomasi.

Gambar 2.3 Matury Model Cobit

Pada penelitian ini akan menggunakan Cobit Maturity Model sebagai

acuan dalam melakukan pengukuran tingkat kemapanan tata kelola yang ada di

PT BEI.

Salah satu model pengukuran tingkat kemapanan yang diperkenalkan

oleh ITGI yaitu dengan mengukur tingkat kemapanan dari atribut-atributnya

(disebut maturity attribute). Pengukuran yang dilakukan menggunakan maturity


19


attribute karena maturity attribute memuat daftar karakteristik bagaimana proses

TI dikelola dan menjelaskan bagaimana mereka berevolusi dari non-existent

sampai dengan optimised process. Maturity attribute ini dapat digunakan untuk

assessment dengan lebih komprehensif, analisis kesenjangan yang ada dan

perencanaan perbaikan (ITGI, 2007). Assessment dengan maturity attribute dipilih

karena sesuai dengan kebutuhan dari PT BEI dengan alasan sebagai berikut:

1. Penilaian dapat dilakukan dengan lebih komprehensif, meliputi cara

komukasi antara TI dengan user, prosedur yang telah diterapkan, tools

yang digunakan, kebutuhan personil TI serta pembagian tanggung

jawab akan dinilai dan diberikan rekomendasi untuk menanggulangi

kekurangannya (gap analisys)

2. Adanya acuan yang jelas dalam penilaian maturity attribute sesuai yang

tertera pada tabel 2.2 sehingga mengurangi miss interpersepsi dan lebih

mudah mengkomunikasikan dengan pihak-pihak yang mungkin masih

awam dengan penilaian maturity berdasarkan Cobit 4.1

Berikut ini merupakan atribut yang digunakan dalam melakukan

assessment tingkat kemapanan tata kelola:

1. Tingkat kesadaran dan adanya sosialisasi

2. Keberadaan kebijakan, standar dan prosedur

3. Penggunaan alat bantu dan sistem otomasi

4. Ketrampilan dan keahlian pelaksana

5. Kejelasan Tanggung jawab dan akuntabilitas

6. Ditetapkannya target dan pengukuran kinerja

Untuk mendapatkan data tingkat kemapanan dari setiap atribut di atas

diperoleh dari hasil pemetaan kondisi eksisting dengan ke enam atribut di atas.

Jika terdapat hal-hal yang belum jelas akan dilakukan konfirmasi ulang sehingga

nilai dari setiap atribut akan lebih valid. Setelah diketahui nilai-nilai dari setiap

atribut maka kita dapat melakukan perhitungan nilai kemapanan untuk suatu

proses, dalam penelitian ini proses yang akan diteliti hanya mencakup proses-

proses pada domain DS. Nilai kemapanan (maturity level – ML) proses didapat


20


dari hasil rata-rata dari setiap nilai atribut, dalam penelitian ini pembobotan setiap

atribut disamakan.

Berikut ini merupakan acuan dalam memberikan nilai untuk setiap atribut,

nilai paling rendah adalah 1 dan yang paling tinggi adalah nilai 5, setiap nilai

mempunyai kriteria penilaian tersendiri yang dapat dilihat pada tabel 2.2:


21


Tabel 2.2 Maturity Attribute

ML Awareness andCommunication (AC)

Policies, Plans andProcedures (PPP)

Tools and Automation(TA)

Skills and Expertise(SE)

Responsibility andAccountability (RA)

Goal Setting andMeasurement (GM)

1 Recognition of theneed for the process isemerging. There issporadiccommunication of theissues.

There are adhocapproaches toprocesses and practices.The process and policiesare undefined.

Some tools may exist;usage is based onstandard desktop tools.There is no plannedapproach to the toolusage.

Skill required for theprocess are notidentified. A trainingplan does not exist andno formal trainingoccurs.

There is no definitionof accountability andresponsibility. Peopletake ownership ofissues based on theirown initiative on areactive basis.

Goals are not clearand no measurementtakes place.

2 There is awareness ofthe need to act.Managementcommunicates theoverall issues.

Similar and commonprocesses emerge, butare largely intuitivebecause of individualexpertise. Some aspectsof the process arerepeatable because ofindividual expertise, andsome documentation andinformal understandingof policy and proceduresmay exist.

Common approaches touse of tools exist butare based on solutionsdeveloped by keyindividuals. Vendortools may have beenacquired, but areprobably not appliedcorrectly, and may evenbe shelfware.

Minimum skillrequirements areidentified for criticalareas. Training isprovided in response toneeds, rather than onthe basis of an agreedplan, and informaltraining on the joboccurs.

An individual assumeshis/her responsibilityand is usually heldaccountable, even ifthis is not formallyagreed. There isconfusion aboutresponsibility whenproblems occur, and aculture of blametrends to exist.

Some goal settingoccurs; somefinancial measuresare established butare known only bysenior management.There is inconsistentmonitoring inisolated areas.


22


Tabel 2.3 Maturity Attribute (lanjutan)

ML Awareness andCommunication

(AC)

Policies, Plans andProcedures (PPP) Tools and Automation

(TA)Skills and Expertise

(SE)Responsibility and

Accountability (RA)Goal Setting and

Measurement (GM)

3 There isunderstanding ofthe need to act.Management ismore formal andstructured in itscommunication.

Usage of goodpractices emerges. Theprocess, policies andprocedures are definedand documented for allkey activities.

A plan has beendefined for use andstandardisation oftools to automate theprocess. Tools arebeing used for theirbasic purposes, butmay not all be inaccordance with theagreed plan, and maynot be integrated withone another.

Skill requirements aredefined and documentedfor all areas. A formaltraining plan has beendeveloped, but formaltraining is still based onindividual initiatives.

Process responsibility andaccountability are definedand process owners havebeen identified. Theprocess owner is unlikelyto have the full authorityto exercise theresponsibilities.

Some effectiveness goalsand measures are set, butare not communicated, andthere is a clear link tobusiness goals.Measurement processesemerge, but are notconsistently applied. ITbalanced scorecard ideasare being adopted, as isoccasional intuitiveapplication of root causeanalysis.

4 There isunderstanding ofthe fullrequirements.Maturecommunicationtechniques areapplied andstandardcommunicationtools are in use.

The process is soundand complete; internalbest practices areapplied. All aspects ofthe process aredocumented andrepeatable. Policieshave been approvedand signed off on bymanagement. Standardsfor developing andmaintaining theprocesses andprocedures are adoptedand followed.

Tools are implementedaccording to astandardised plan, andsome have beenintegrated with otherrelated tools. Toolsare being used in mainareas to automatemanagement of theprocess and monitorcritical activities andcontrols.

Skill requirements areroutinely updated for allareas, proficiency isensured for all criticalareas, and certificationis encouraged. Maturetraining techniques areapplied according to thetraining plan, andknowledge sharing isencouraged. All internaldomain experts areinvolved, and theeffectiveness of thetraining plan is assessed.

Process responsibility andaccountability areaccepted and working in away that enables aprocess owner to fullydischarge his/herresponsibilities. A rewardculture is in place thatmotivates positive action.

Efficiency and effectivenessare measured andcommunicated and linkedto business goals and theIT strategic plan. The ITbalanced scorecard isimplemented in some areaswith exceptions noted bymanagement and rootcause analysis is beingstandardised. Continuousimprovement is emerging.


23




(AC)





Measurement (GM)

5 There is advanced,forward-lookingunderstanding ofrequirements.Proactivecommunication ofissues based ontrends exists,maturecommunicationtechniques areapplied, andintegratedcommunicationtools are in use.

External best practicesand standards areapplied. Processdocumentation isevolved to automatedworkflows. Processess,policies and proceduresare standardised andintegrated to enableend-to-end managementand improvement.

Standardised tools setsare used across theenterprise. Tools arefully integrated withother related tools toenable end-to-endsupport of theprocesses. Tools arebeing used to supportimprovement of theprocess andautomatically detectcontrol exceptions.

The organisationformally encouragescontinuous improvementof skills, based onclearly defined personaland organisationalgoals. Training andeducation supportexternal best practicesand use of leading-edgeconcepts and techniques.Knowledge sharing is anenterprise culture, andknowledge-basedsystems are beingdeployed. Externalexperts and industryleaders are used forguidance.

Process owners areempowered to makedecisions and take action.The acceptance ofresponsibility has beencascaded downthroughout theorganisation in aconsistent fashion.

There is an integratedperformance measurementperformance measurementsystem linking ITperformance to businessgoals by global applicationof the IT balancedscorecard. Exceptions areglobally and consistentlynoted by management androot cause analysis isapplied. Continuousimprovement is a way oflife.


24


2.4 ITIL versi 3ITIL adalah suatu kerangka kerja umum yang menggambarkan Best

Practice layanan manajemen TI. ITIL menyediakan kerangka kerja bagi tatakelola

TI, serta wrapping layanan. ITIL memfokuskan diri pada pengukuran terus

menerus dan perbaikan kualitas layanan TI yang disampaikan, baik dari perspektif

bisnis maupun pelanggan.

ITIL banyak diterapkan karena mempunyai beberapa manfaat bagi

perusahaan, antara lain:

1. Peningkatan kepuasan bagi pengguna dengan layanan IT

2. Ketersediaan layanan yang meningkat, hal ini dapat berdampak pada

keuntungan usaha

3. Penghematan keuangan dari berkurangnya rework, kehilangan waktu,

pengelolaan sumber daya manajemen yang lebih baik karena bisa

langsung menggunakan best practice yang terdapat dalam kerangka

kerja ITIL.

4. Pengambilan keputusan yang lebih baik

5. Meminimalkan risiko

ITIL versi pertama diterbitkan antara tahun 1989 dan 1995 oleh Her

Majesty's Stationery Office (HMSO) di Inggris atas nama Kantor Pemerintah

Perdagangan (Office of Government Commerce). Penggunaan ITIL pada awalnya

masih terbatas di negara Inggris dan Belanda. Sampai saat ini, ITIL versi terakhir

adalah ITIL versi 3 yang diterbitkan pada 30 Juni 2007. Pada ITIL versi 3, lebih

ditekankan pada pengelolaan lifecycle dari layanan yang disediakan oleh TI. Pada

lifecycle tersebut dibagi menjadi 5 bagian, yaitu:

1. Service Strategy, mempunyai tujuan untuk menunjukkan organisasi

bagaimana cara untuk mengubah manajemen pelayanan (service

management) menjadi aset strategis dan untuk kemudian berpikir dan

bertindak secara strategis. Service strategy digunakan untuk membantu

menjawab pertanyaan sebagai berikut, layanan apa yang harus

ditawarkan dan kepada siapa, apa yang bisa membedakan layanan kita

dari yang lain, bagaimana sumber daya harus dialokasikan dan


25


bagaimana kinerja dari layanan akan diukur. Proses-proses yang

dicakup dalam Service Strategy antara lain:

a. Service Portfolio Management

b. Financial Management

c. Demand Management

2. Service Design, dimulai dengan satu set kebutuhan bisnis dan berakhir

dengan pengembangan solusi layanan yang dirancang untuk memenuhi

kebutuhan bisnis tersebut serta untuk menghasilkan Service Design

Package (SDP) untuk serah terima ke Service Transition. Service

Design memberikan panduan kepada organisasi TI untuk dapat secara

sistematis dan best practice mendesain dan membangun layanan TI.

Service Design berisi prinsip-prinsip dan metode-metode desain untuk

mengkonversi tujuan-tujuan strategis organisasi TI dan bisnis menjadi

portofolio/koleksi layanan TI serta aset-aset layanan. Ruang lingkup

Service Design tidak melulu hanya untuk mendesain layanan TI baru,

namun juga proses-proses perubahan maupun peningkatan kualitas

layanan, kontinyuitas layanan maupun kinerja dari layanan. Proses-

proses yang dicakup dalam Service Design yaitu:

a. Service Catalog Management

b. Service Level Management

c. Supplier Management

d. Capacity Management

e. Availability Management

f. IT Service Continuity Management

g. Information Security Management

3. Service Transition, menyediakan panduan kepada organisasi TI

mengembangkan dan mengimplementasikan design yang telah dibuat

pada Service Design ke area produksi (operasional). Tahapan lifecycle

ini memberikan gambaran bagaimana sebuah kebutuhan yang

didefinisikan dalam Service Strategy kemudian dibentuk dalam Service

Design untuk selanjutnya secara efektif direalisasikan dalam Service

Operation. Proses-proses yang dicakup dalam Service Transition yaitu:


26


a. Transition Planning and Support

b. Change Management

c. Service Asset & Configuration Management

d. Release & Deployment Management

e. Service Validation

f. Evaluation

g. Knowledge Management

4. Service Operation, mempunyai tujuan memberikan tingkat layanan

(service level) yang telah disepakati kepada pengguna dan pelanggan,

selain itu untuk mengelola aplikasi, teknologi dan infrastruktur yang

mendukung pengiriman layanan tersebut. Proses-proses yang dicakup

dalam Service Operation yaitu:

a. Event Management

b. Incident Management

c. Problem Management

d. Request Fulfillment

e. Access Management

5. Continual Service Improvement (CSI), berkaitan dengan bagaimana

cara mempertahankan value bagi pelanggan melalui evaluasi yang

berkesinambungan dan peningkatan kualitas layanan dan kematangan

keseluruhan lifescyle dari IT service management (ITSM). CSI

mengkombinasikan berbagai prinsip dan metode dari manajemen

kualitas, salah satunya adalah Plan-Do-Check-Act (PDCA) atau yang

dikenal sebagi Deming Quality Cycle


27


Gambar 2.4 Kerangka kerja ITIL versi 3

Pada penelitian ini kerangka kerja ITIL versi 3 akan digunakan sebagai

acuan dalam melakukan perbaikan prosedur kerja yang ada di PT BEI.

2.5 Manajemen RisikoDalam melakukan pembahasan menengai manajemen risiko, perlu

diketahui terlebih dahulu mengenai definisi dari risiko itu sendiri. Terdapat

beberapa definisai dari risiko, menurut kamus besar bahasa Indonesia, kata risiko

mempunyai definisi sebagai berikut “akibat yang kurang menyenangkan

(merugikan, membahayakan) dari suatu perbuatan atau tindakan. Menurut

Australian Standards/New Zealand Standards 4360:2004 (AS/NZS, 2004),

definisi dari kata risiko adalah “peluang terjadinya sesuatu yang akan berdampak

dalam pencapaian tujuan. Dalam hal ini risiko diukur dari besaran konsekuensi

dan kemungkinan kejadiannya.

Menurut kedua pengertian di atas, dapat diketahui bahwa risiko

merupakan akibat yang kurang menyenangkan yang dapat berdampak pada

pencapaian tujuan, risiko itu sendiri diukur dari dampak yang ditimbulkannya dan

kemungkinan terjadinya risiko tersebut.

Setelah mengetahui definisi dari risiko, selanjutnya akan dibahas mengenai

beberapa definisi dari manajemen risiko. Menurut Australian Standards/New

Zealand Standards 4360:2004, definisi dari manajemen risiko adalah suatu proses

yang logis dan sistematis dalam mengidentifikasi, menganalisa, mengevaluasi,

mengendalikan, mengawasi, dan mengkomunikasikan risiko yang berhubungan


28


dengan segala aktivitas, fungsi atau proses dengan tujuan perusahaan mampu

meminimasi kerugian dan memaksimumkan kesempatan. Implementasi dari

manajemen risiko ini membantu perusahaan dalam mengidentifikasi risiko sejak

awal dan membantu membuat keputusan untuk mengatasi risiko tersebut.

Sedangkan menurut NIST - National Institute of Standard and

Technology (Stoneburner, 2004) definisi dari manajemen risiko adalah proses

dari mengidentifikasi, mengontrol dan meringankan sistem informasi terkait risiko

yang melingkupi pengkajian risiko, analisa manfaat biaya, pemilihan,

implementasi, pengetesan dan evaluasi keamanan.

Berdasarkan definisi di atas, maka dapat diambil kesimpulan bahwa

manajemen risiko merupakan sebuah proses di dalam melakukan identifikasi

risiko, kemudian menganalisis risiko, serta melakukan pemilihan langkah-langkah

untuk meminimalisir risiko tersebut. Selanjutnya akan disampaikan beberapa

framework manajemen risiko.

2.6 Framework NISTNIST (National Institute of Standard and Technology ) mengeluarkan

rekomendasi melalui publikasi khusus 800-30 tentang Risk Management Guide

for Information Technology System (Stoneburner, 2004). Terdapat tiga proses

dalam manajemen risiko

Gambar 2.5 Framework Risk manajemen NIST 800-30


29


Berikut ini merupakan penjelasan singkat untuk setiap proses yang

terdapat pada framework NIST.

1. Penilaian risiko (risk assessment) merupakan proses yang mencakup

identifikasi, evaluasi risiko, dampak risiko, pengukuran nilai risiko dan

penyusunan rekomendasinya

2. Mitigasi risiko (risk mitigation) merupakan proses yang penseleksian

rekomendasi yang telah disampaikan pada saat risk

assessment,membuat urutan prioritas implementasi dan

mengimplementasi control yang dipilih.

3. Evaluasi risiko (risk evaluation) merupakan proses untuk melakukan

evaluasi apakah pendekatan manajemen risiko yang telah diterapkan

sudah sesuai atau belum. Dalam evaluasi ini termasuk evaluasi

efektifitas control dan harus dilakukan secara terus menerus untuk

memperbaiki kinerja manajemen risiko.

Penjelasan untuk masing-masing tahapan di atas akan dijelaskan secara

lebih detail pada bagian dibawah ini

a. Langkah-langkah dalam penilaian risiko:

1. Mengetahui karakteristik dari sistem TI: hardware, software, sistem

antarmuka (koneksi internal atau eksternal), data dan informasi, orang

yang mendukung atau menggunakan sistem, arsitektur keamanan

sistem, topologi jaringan sistem.

2. Identifikasi Ancaman yang mungkin menyerang kelemahan sistem TI.

Sumber ancaman bisa berasal dari alam, manusia dan lingkungan.

3. Identifikasi kekurangan atau kelemahan (vulnerability) pada prosedur

keamanan, desain, implementasi, dan internal kontrol terhadap sistem

sehingga menghasilkan pelanggaran terhadap kebijakan keamanan

sistem.

4. Menganalisa kontrol – kontrol yang sudah diimplementasikan atau

direncanakan untuk diimplementasikan oleh organisasi untuk

mengurangi atau menghilangkan kecenderungan (kemungkinan) dari

suatu ancaman menyerang sistem yang vulnerable.


30


5. Penentuan kecenderungan (likelihood) dari kejadian bertujuan untuk

memperoleh penilaian terhadap keseluruhan kecenderungan yang

mengindikasikan kemungkinan potensi vulnerability diserang oleh

lingkungan ancaman yang ada. Di PT BEI, likelihood tersebut dapat

dikategorikan menjadi 5 bagian yaitu: sangat tinggi, tinggi, sedang,

rendah dan sangat rendah.Detail dari kategori tersebut dapat dilihat

pada bab 5, pada bagian risk assessment.

6. Analisa dampak yang didapatkan dari pengukuran dampak yang terjadi

ketika ancaman dapat mengeksploitasi vulnerability. Seperti loss of

integrity, loss of availability, dan loss of confidentiality. Pengukuran

dampak dari risiko TI dapat dilakukan secara kualitatif maupun

kuantitatif. Di PT BEI, dampak tersebut dapat dikategorikan menjadi 5

bagian yaitu: sangat tinggi, tinggi, sedang, rendah dan sangat rendah.

Detail dari kategori tersebut dapat dilihat pada bab 5, pada bagian risk

assessment.

7. Penentuan level risiko. Penentuan level risiko dari Sistem TI yang

merupakan pasangan ancaman dan vulnerability dari suatu fungsi

ditentukan oleh aspek-aspek berikut ini:

Kecenderungan suatu sumber ancaman menyerang

vulnerability dari sistem TI.

Besaran dampak yang akan terjadi jika sumber ancaman sukses

menyerang vulnerability dari sistem TI.

Terpenuhinya perencanaan kontrol keamanan yang ada untuk

mengurangi dan menghilangkan risiko.

8. Penyusunan rekomendasi untuk mengurangi risiko dari sistem TI

sehingga mencapai level yang dapat diterima.

9. Melakukan dokumentasi hasil identifikasi risiko dalam bentuk laporan.


31


b. Langkah-langkah dalam mitigasi risiko:

1. Prioritas aksi, berdasarkan tingkat level risiko yang dihasilkan pada

tahapan penilaian risiko maka ditentukan prioritas aksi yang akan

dilakukan. Keluaran dari tahapan pertama ini adalah urutan prioritas

aksi yang dimulai dari tingkat level risiko yang tinggi hingga yang

paling rendah.

2. Melakukan evaluasi control yang direkomendasikan. Pada tahapan ini

dilakukan evaluasi terhadap rekomendasi control yang dihasilkan pada

tahapan penilain risiko, untuk melihat apakah rekomendasi tersebut

layak diimplementasikan di dalam organisasi.

3. Analisa cost benefit, tujuannya untuk menggambarkan biaya dan

keuntungan jika mengimplementasikan atau tidak

mengimplementasikan control – control tersebut.

4. Pemelihan control, berdasarkan hasil cost benefit analysis, manajemen

menentukan kontrol dengan biaya paling efektif untuk mengurangi

risiko terhadap misi organisasi.

5. Memberikan tanggung jawab, personil yang sesuai (personil dari

dalam atau personil yang dikontrak dari luar) yang memiliki keahlian

dan ketrampilan ditugaskan untuk mengimplementasikan pemilihan

kontrol yang diidentifikasi, dan bertanggung jawab terhadap yang

ditugaskan.

6. Membangun rancangan implementasi keamanan, pada tahapan ini

mengembangkan rancangan implementasi control keamanan

berdasarkan hasil prioritasi aksi, cost benefit analysis dan pembagian

tanggung jawab.

7. Mengimplementasikan control, pada tahapan ini akan dilakukan

implementasi control-control yang telah dipilih.

c. Langkah-langkah dalam proses evaluasi risiko:

Pada proses ini dilakukan evaluasi apakah pendekatan manajemen risiko

yang diterapkan sudah sesuai. Kemudian dilakukan penilaian risiko kembali


32


untuk memastikan keberadaan risiko yang teridentifikasi maupun risiko yang belum

teridentifikasi.Tabel 2.5 Template Risk Assessment

No Karakteristik sistem TI Threat Vulnerability Likelihood Impact Risk Exposure Rekomendasi

1.

2.

3.

Dalam karya akhir ini, risk assessment yang akan dilakukan adalah seabagi berikut:

1. Untuk karakteristik sistem, threat dan vulnerability akan menggunkan risk driver yang terdapat pada dokumen Cobit Control

Practice (ITGI, 2007).

2. Penentuan kategori likelihood, impact dan risk exposure didasarkan pada dokumen pedoman manajemen risiko

3. Rekomendasi didapatkan dari rekomendasi perbaikan sesuai dengan hasil assessment maturity attribute.



3 BAB III

METODOLOGI PENELITIAN

3.1 MetodologiPada bagian metodologi penelitian ini, penulis akan merumuskan langkah-

langkah apa saja yang dilakukan untuk mencapai hasil penelitian yang sesuai

harapan.

Gambar 3.1 Tahapan Penelitian


34


1. Tahap 1: Penyertaan Masalah

Pada tahapan ini akan dilakukan penjabaran latar belakang penelitian dan

perumusan masalah.

Input:ketidaksesuaian realita dengan harapan

Proses: Identifikasi masalah

Out put: masalah apa yang ingin dipecahkan

2. Tahap 2: Penyusunan Studi Literatur Teori

Pada tahapan ini akan dilakukan eksplorasi literature-literatur yang sesuai dengan

permasalahan yang dihadapi dalam penelitian ini

Input:Teori dan Penelitian yang relevan

Proses: Mencari teori yang sesuai

Out put: Mengetahui teori yang sesuai

3. Tahap 3: Menentukan metode pengukuran

Pada tahapan ini akan dilakukan pemilihan metode pengukuran yang sesuai untuk

mengukur tingkat kemapanan tata kelola

Input: Masalah dan teori yang sesuai

Proses: Menentukan metode pengukuran dan data yang dibutuhkan

Out put: Metode pengukuran

4. Tahap 4: Pengumpulan Data

Pada tahapan ini akan dilakukan pengumpulan data-data pendukung guna

menunjang pelaksanaan penelitian.

Input:Data kuantitatif dan Wawancara

Proses: Mengumpulkan data dan informasi

Out put: Data yang dibutuhkan

5. Tahap 5: Analisis,Pengukuran kemapanan dan Penyusunan Rekomendasi

Pada tahapan ini akan dilakukan analisis dan pengukuran kemapanan sesuai

dengan metode pengkuran dan data yang tersedia.

Input: Data yang dibutuhkan

Proses: Melakukan analisa dan perhitungan tingkat kemapanan dan

menyusun rekomendasi perbaikan


35


Out put: Nilai tingkat kemapanan eksisting dan rekomendasi perbaikan

6. Tahap 6: Menyusun Program

Pada tahapan ini akan dilakukan penyusunan program sesuai dengan nilai tingkat

kemapanan dan rekomendasi perbaikan.

Input: Nilai tingkat kemapanan eksisting dan rekomendasi perbaikan

Proses: Melakukan penyusunan program

Out put: Program yang akan dilaksanakan

7. Tahap 7: Validasi

Pada tahapan ini akan dilakukan validasi hasil pengukuran tingkat kemapanan,

rekomendasi perbaikan dan program yang diusulkan.

Input: Nilai tingkat kemapanan, rekomendasi perbaikan dan usulan

program

Proses: Melakukan konfirmasi hasil pengukuran tingkat kemapanan,

rekomendasi perbaikan dan usulan program kepala Divisi OTI dan MRI

Out put: Hasil konfirmasi

8. Tahap 8: Pelaksanaan program

Pada tahapan ini akan dilakukan implementasi program yang telah diusulkan.

Input: Usulan program yang telah dikonfirmasi

Proses: Melakukan implementasi program

Out put: Hasil pelaksanaan program

9. Tahap 9: Review, Kesimpulan dan Saran

Pada tahapan ini akan disampaikan hasil review, kesimpulan dan saran sesuai

hasil penelitian. Kesimpulan menggambarkan hasil akhir penelitian secara

keseluruhan.

Input: Hasil konfirmasi dan hasil pelaksanaan program

Proses: Menyampaikan kesimpulan dan saran

Out put: Hasil review, kesimpulan dan saran


36


3.2 Framework PenelitianAdapun framework penelitian yang digunakan adalah sebagai berikut:

Gambar 3.2 Framework penelitian

Berikut ini akan dijelaskan secara singkat mengenai alur dari framework

penelitian yang terdapat pada gambar di atas:

1. Langkah pertama dalam framework tersebut adalah melakukan

assessment nilai maturity cobit berdasarkan maturity attribute dari setiap

proses di domain DS.

2. Menyusun rekomendasi perbaikan berdasarkan hasil assessment,

rekomendasi yang diberikan bertujuan agar setiap maturity attribute

mempunyai nilai maturity level mencapai 4.

3. Melakukan risk assessment untuk melihat tingkat risiko jika rekomendasi

perbaikan tidak dilakukan. Hal ini dapat dijadikan pertimbangan dalam

menentukan rekomendasi mana yang harus diimplementasikan terlebih

dahulu. Dalam melakukan risk assessment akan mengacu kepada risk

driver yang terdapat di control practice Cobit.

4. Langkah selanjutnya adalah melakukan validasi hasil rekomendasi dan

melakukan penyusunan program yang termasuk didalamnya melakukan

perbaikan SOP. Dalam menyusun SOP akan memperhatikan best practice

dari ITIL versi 3.



4 BAB IV

PROFIL PERUSAHAAN

IDX (Indonesia Stock Exchange) atau yang lebih dikenal dengan Bursa

Efek Jakarta adalah pasar modal yang berpusat di Jakarta.

Pasar modal atau bursa efek telah ada sejak tahun 1912, sebelum Indonesia

merdeka, didirikan oleh pemerintah Hindia Belanda untuk kepentingan

pemerintah kolonial atau VOC. Namun perkembangan dan pertumbuhan pasar

modal tidak berjalan sesuai harapan bahkan di beberapa periode kegiatan pasar

modal mengalami kekosongan baik akibat perang dunia pertama dan kedua,

perpindahan kekuasaan dari pemerintah kolonial ke pemerintah Republik

Indonesia, serta kondisi lainnya yang menyebabkan operasi bursa efek tidak dapat

berjalan.

Pemerintah Indonesia mengaktifkan kembali bursa efek pada tahun 1977,

dan beberapa tahun kemudian pasar modal mengalami pertumbuhan seiring

dengan berbagai insentif dan regulasi yang dikeluarkan oleh pemerintah.

Sejarah perkembangan pasar modal Indonesia dapat dilihat pada tabel 4.1.Tabel 4.1 Sejarah Perkembangan BEI

PERIODE SEJARAH PERKEMBANGAN

Desember 1912Bursa efek pertama di Indonesia dibentuk di Batavia oleh

Pemerintah Hindia Belanda.

1914 – 1918 Bursa efek di Batavia ditutup selama Perang Dunia I.

1925 – 1942Bursa efek di Jakarta, Semarang dan Surabaya dibuka

kembali.

Awal tahun 1939Karena isu politik (Perang Dunia II) bursa efek di

Semarang dan Surabaya ditutup.

1942 – 1952Bursa efek di Jakarta ditutup kembali selama Perang

Dunia II.

1956Program nasionalisasi perusahaan Belanda. Bursa efek

semakin tidak aktif.


38


Tabel 4.2 Sejarah Perkembangan BEI (lanjutan)


1956 – 1977 Perdagangan di bursa efek vakum.

10 Agustus 1977

Bursa efek diresmikan kembali oleh Presiden Soeharto.

Bursa Efek Jakarta (BEJ) dijalankan di bawah BAPEPAM

(Badan Pelaksana Pasar Modal). Tanggal 10 Agustus

diperingati sebagai hari peringatan pasar modal.

Pengaktifan kembali pasar modal ini juga ditandai dengan

go public PT Semen Cibinong sebagai emiten.

1977 – 1987

Perdagangan di bursa efek sangat lesu. Jumlah emiten

hingga tahun 1987 baru mencapai 24 emiten. Masyarakat

lebih memilih instrumen perbankan dibandingkan

instrumen pasar modal.

1987

Ditandai dengan hadirnya Paket Desember 1987

(PAKDES 87) yang memberikan kemudahan bagi

perusahaan untuk melakukan penawaran umum dan

investor asing menanamkan modal di Indonesia.

1988 – 1990

Paket deregulasi dibidang perbankan dan pasar modal

diluncurkan. Pintu Bursa Efek Jakarta terbuka untuk asing.

Aktivitas bursa mulai meningkat.

2 Juni 1988

Bursa Paralel Indonesia (BPI) mulai beroperasi dan

dikelola oleh Persatuan Perdagangan Uang dan Efek

(PPUE), sedangkan organisasinya terdiri dari pialang

(broker) dan agen (dealer).

Desember 1988

Pemerintah mengeluarkan Paket Desember 88 (PAKDES

88) yang memberikan kemudahan perusahaan untuk go

public dan beberapa kebijakan lain yang positif bagi

pertumbuhan pasar modal.


39


Tabel 4.3 Sejarah Perkembangan BEI (lanjutan)


16 Juni 1989

Bursa Efek Surabaya (BES) mulai beroperasi dan dikelola

oleh perseroan terbatas milik swasta yaitu PT Bursa Efek

Surabaya.

13 Juli 1992

Penswastaan Bursa Efek Jakarta. BAPEPAM berubah

menjadi Badan Pengawas Pasar Modal. Tanggal ini

diperingati sebagai hari ulang tahun PT Bursa Efek

Jakarta.

22 Mei 1995

Sistem Otomasi perdagangan dilaksanakan di PT Bursa

Efek Jakarta menggunakan sistem computer JATS

(Jakarta Automated Trading Systems).

10 November 1995

Pemerintah mengeluarkan Undang-undang No. 8 Tahun

1995 tentang pasar modal yang mulai berlaku sejak

Januari 1996.

1995Bursa Paralel Indonesia merger dengan Bursa Efek

Surabaya.

2000Sistem perdagangan tanpa warkat (scripless trading) mulai

diaplikasikan di pasar modal Indonesia.

2002PT Bursa Efek Jakarta mulai mengaplikasikan sistem

perdagangan jarak jauh (remote trading).

2007Bursa Efek Surabaya dan Bursa Efek Jakarta bergabung

menjadi Bursa Efek Indonesia (BEI).

2 Maret 2009Peluncuran perdana sistem perdagangan baru PT Bursa

Efek Indonesia, yaitu JATS-NextG.


40


Visi PT Bursa Efek Indonesia adalah menjadi bursa yang kompetitif

dengan kredibilitas tingkat dunia. Dengan misi menciptakan daya saing untuk

menarik investor dan perusahaan tercatat (listed emiten), melalui pemberdayaan

anggota bursa, penciptaan nilai tambah, efisiensi biaya serta penerapan good

governance.

4.1 Tata Kelola OrganisasiTata kelola perusahaan atau corporate governance adalah sistem yang

dirancang dalam rangka mengarahkan pengelolaan perusahaan secara profesional

berdasarkan prinsip-prinsip transparansi, akuntabilitas, tanggung jawab,

kemandirian, kewajaran dan kesetaraan. Sebagai SRO (Self Regulatory

Organization), sudah semestinya jika PT Bursa Efek Indonesia menjadi panutan

bagi perusahaan publik atau perusahaan tercatat dan juga perusahaan efek,

terutama Perusahaan Efek Anggota Bursa (PE AB), sehingga penerapan tata

kelola perusahaan yang baik (Good Corporate Governance - GCG) menjadi

sangat penting. Pada akhir 2010, penyempurnaan pedoman GCG ini sudah mulai

masuk tahapan akhir. Dipastikan pada kuartal pertama 2011 nanti (hal ini sudah

dilaksanakan pada kuartal pertama 2011, PT Bursa Efek Indonesia telah memiliki

piagam (charter) GCG yang baru dalam bentuk buku manual agar mudah

disosialisasikan kepada seluruh karyawan PT Bursa Efek Indonesia. Termasuk di

dalamnya terkait dengan penyempurnaan nilai-nilai perusahaan, pedoman perilaku

dan kode etik.

Tujuan pedoman tata kelola (Corporate Governance) PT Bursa Efek

Indonesia adalah:

1. Sebagai pedoman bagi dewan komisaris dalam melaksanakan pengawasan

dan pemberian saran-saran kepada direksi dalam pengelolaan perusahaan.

2. Sebagai pedoman bagi direksi agar dalam menjalankan perusahaan sehari-

hari dilandasi dengan nilai moral yang tinggi dengan memperhatikan

anggaran dasar, etika bisnis, perundang-undangan dan peraturan yang

berlaku lainnya.


41


3. Sebagai pedoman bagi jajaran manajemen dan karyawan PT Bursa Efek

Indonesia dalam melaksanakan kegiatan atau tugas sehari-hari sesuai

dengan prinsip-prinsip tata kelola perusahaan yang baik.

Dalam rangka mencapai visi perusahaan serta melaksanakan misi

perusahaan maka pada tahun 2010 disosialisasikan tata nilai (core value)

perusahaan yang terdiri dari:

1. Kerjasama (Teamwork).

2. Integritas (Integrity).

3. Profesionalisme (Professionalism).

4. Pelayanan prima (Service Excellence).

Tata nilai tersebut kemudian diimplementasikan dalam kompetensi inti

(core competencies), yaitu:

1. Membangun Kepercayaan (Building Trust).

2. Integritas (Integrity).

3. Memiliki keunggulan (Strive for Excellence).

4. Fokus kepada Pelanggan (Customer Focus).

Proses implementasi tata kelola perusahaan PT Bursa Efek Indonesia yang

berkelanjutan merupakan salah satu rencana pengembangan untuk mencapai visi

dan misi perusahaan. Rencana tersebut dibuat oleh divisi manajemen risiko dalam

beberapa program seperti program sosialisasi dan peningkatan kesadaraan

(awareness), pemantauan (monitoring) dan penilaian (assessment) implementasi

tata kelola perusahaan yang baik secara berkala, serta penyempurnaan pedoman,

piagam dan prosedur tata kelola perusahaan yang baik.


42


4.2 Struktur OrganisasiBerikut ini merupakan struktur organisasi dari PT Bursa Efek Indonesia

(BEI).

Gambar 4.1 Struktur Organisasi BEI

Berikut ini merupakan struktur detil dari direktorat Teknologi Informasi

dan Manajemen Risiko.


43


Gambar 4.2 Struktur Direktorat TMR

Pada direktorat Teknologi Informasi dan Manajemen Risiko terdapat 3

Divisi seperti yang telah disebutkan pada bagian pendahuluan di Bab 1. Berkaitan

dengan penelitian yang akan dilakukan akan banyak berkaitan dengan Divisi

Operasi TI (OTI), berikut ini akan disampaikan secara singkat mengenai job

description pada masing-masing unit kerja. Pada saat ini terdapat 4 unit kerja yang

berada di bawah di Divisi OTI, yaitu:

1. Unit Sistem Manajemen

Bertanggung jawab untuk memastikan adanya harmonisasi kerja terkait

dengan pemenuhan permintaan pengadaan pengembangan produk,

infrastruktur, peraturan operasional teknologi informasi baik bagi operasional

perkantoran maupun operasional bisnis yang ada di Bursa Efek Indonesia

dengan mengacu pada standar IT Governance yang ditetapkan.

2. Unit Operasi Bisnis


44


Bertanggungjawab untuk memastikan terlaksananya operasional sistem bisnis

BEI berbasis teknologi informasi berjalan secara efektif dan efisien.

3. Unit Operasi Perkantoran

Bertanggungjawab untuk memastikan terlaksananya operasional sistem

perkantoran BEI berbasis teknologi informasi berjalan secara efektif dan

efisien.

4. Unit Network and Technical Support

Bertanggung jawab untuk memastikan terlaksananya kegiatan perencanaan,

dukungan proses pengadaan perangkat dan penerapan infrastruktur jaringan

dan dukungan teknis serta ketersediaan dan kehandalan sistem (perdagangan

dan perkantoran).



5 BAB V

ANALISIS DAN PEMBAHASAN

Pada bagian ini akan dibahas tentang hasil analisis dan pembahasan

mengenai penerapan tata kelola TI yang terdapat di PT BEI. Analisis dan

pembahasan yang dilakukan meliputi:

kondisi tata kelola pada saat ini

evidence dari penerapan tata kelola tersebut serta

gap analysis kondisi eksisting dengan kondisi ideal

5.1 Metode untuk Assessment Penerapan Tata Kelola TIGuna membantu dalam melakukan analisis kondisi tata kelola pada PT

BEI, penulis akan menggunakan metode wawancara, observasi dan melakukan

kaji dokumen, khususnya untuk Divisi Operasi TI. Hal ini dilakukan karena

domain Delivery and Support (DS) lebih banyak terkait dengan Divisi Operasi TI.

Analisis yang dilakukan meliputi prosedur TI yang terdapat di Divisi

Operasi TI, observasi penerapan prosedur dalam kegiatan operasional TI dan

mencari ketidaksesuaian antara prosedur yang ada dengan kenyataan di lapangan.

Berdasarkan hasil analisis dapat diketahui bahwa di Divisi Operasi mempunyai 25

prosedur yang digunakan sebagai acuan dalam melakukan kegiatan operasional TI

di PT BEI. Hasil analisis ini dapat digunakan sebagai gambaran awal untuk

mengetahui penerapan prosedur di PT BEI sebelum melakukan assessment nilai

kemapanan berdasarkan cobit. Hasil analisis dapat dilihat pada tabel 5.1 analisis

prosedur.


46


Tabel 5.1 Analisis SOP Divisi Operasi TI

No Nama Acuan Kerja

Self Assessment

Referensi

Penjelasanmengenai

ketidaksesuaiandengan referensi

Kesesuaiandengan

proses diarea kerja

PembagianTanggung

Jawab

IntegrasiProses

PengendalianRisiko

Tindak LanjutPerbaikan

1 SOP-001 Permintaanlayanan √ √ √ √ √

2 SOP-002 Backuprutin office

Cobit, XForm sudah dibuat,namun perluditingkatkankonsistensinya. Halini untuk mencapaicobit level 4

√ √ √ √

Melakukan penyesuaianmekanismepenyampaian hasilbackup.

3 SOP-003 Backupperdagangan saham √ √ √ √ √

4SOP-004 Backupmultimarket √ √ √ √ √


47


Tabel 5.2 Analisis SOP Divisi Operasi TI (lanjutan)

No Nama Acuan Kerja

Self Assessment

Referensi

Penjelasanmengenai


Kesesuaiandengan

proses diarea kerja

PembagianTanggung

Jawab

IntegrasiProses

PengendalianRisiko


5

SOP-005Penanganan incident

√ √ √ X √

Terkait IntegrasiProses:Dibutuhkan adanyarencana integrasi denganprosedur BCP.

6

SOP-006Penanganan masalahperkantoran

√ √ √ √ X

Terkait PengendalianRisiko:- Pembuatan workinstruction

7

SOP-007Penanganan masalahsaham √ √ √ √ X

Terkait PengendalianRisiko:Dibutuhkan adanyatambahan workinstruction

8

SOP-008Penanganan masalahmultimarket √ √ √ √ X

Terkait PengendalianRisiko:- Pembuatan workinstruction


48



No Nama Acuan Kerja

Self Assessment

Referensi

Penjelasanmengenai


Kesesuaiandengan

proses diarea kerja

PembagianTanggung

Jawab

IntegrasiProses

PengendalianRisiko


9

SOP-009 Aksesmasuk ruang server

ISO27001 X- Perlu dilakukanpeningkatankonsistensi dalampelaksanaan SOP

√ √ √ √

10SOP-010 Startup-ShutdownPerdagangan saham

√ √ √ √ √

11

SOP-011 Startup-ShutdownPerdaganganmultimarket

√ √ √ √ √

12SOP-012 Manajemenaccount √ √ √ √ √

13SOP-014 Monitoringbisnis √ √ √ √ √


49



No Nama Acuan Kerja

Self Assessment

Referensi

Penjelasanmengenai


Kesesuaiandengan

proses diarea kerja

PembagianTanggung

Jawab

IntegrasiProses

PengendalianRisiko


14SOP-013 Monitoringperkantoran √ √ √ √ √

15 SOP-015 ManajemenOperasional √ √ √ √ √

16

SOP-016 Persediaan

√ √ √ √ X

Terkait PengendalianRisiko:Dibutuhkan adanya tooluntuk pengelolaanpersediaan perangkat

17

SOP-017 Lisensi

√ √ √ √ X

Terkait PengendalianRisiko:Dibutuhkan adanya tooluntuk pengelolaanlisensi

18

SOP-018Pemeliharaan

√ √ √ X

Terkait PengendalianRisiko:- Perlu ditambahkanmekanisme teguran dantemplate surat teguran


50



No Nama Acuan Kerja

Self Assessment

Referensi

Penjelasanmengenai


Kesesuaiandengan

proses diarea kerja

PembagianTanggung

Jawab

IntegrasiProses

PengendalianRisiko


19 SOP-019 Disposal √ √ √ √ √

20

SOP-020 ChangeManagement

√ √ √ √ √

Terkait RencanaMitigasi:Melakukan sosialisasidengan Div PTI untukperbaikan delivery

21

SOP-021ConfigurationManagement √ √ √ √ X

Terkait PengendalianRisiko:- Diperlukan adanya toolCMDB untuk membantumanage konfigurasi

22SOP-022Kelangsunganpelayanan

√ √ √ √ √

23

SOP-023 Manajemenpelayanan

Cobit, XForm sudah dibuat,namun perluditingkatkankonsistensinyadalam pelaporanSLA. Hal ini untukmencapai cobitlevel 4

√ √ √ √


51



No Nama Acuan Kerja

Self Assessment

Referensi

Penjelasanmengenai


Kesesuaiandengan

proses diarea kerja

PembagianTanggung

Jawab

IntegrasiProses

PengendalianRisiko


24

SOP-024 Pacthmanagement

√ X √ √ X

Terkait pengendalianRisiko dan Kesesuaiandi area kerja:- Akan dilakukanpembuatan formpendukung- Patch IDXNET danWebsite akan dilakukanpengujian

25

SOP-025 Capacityplanning

ISO27001ITIL V3

X- Perluditambahkanaplikasi yangdiukur, idealnyasemua sistembisnis dan sistemoffice- Perlu dilakukanpengukurankapasitas pada saatdilakukanenhancementsistem

√ √ √ √


52


5.2 Pengukuran Kemapanan Tata KelolaSetelah mengetahui kondisi eksisting dari tata kelola yang terdapat di PT

BEI, langkah selanjutnya yang akan dilakukan adalah melakukan pengukuran

tingkat kemapanan Tata Kelola tersebut dan mencari gap yang ada sehingga dapat

mencapai tingkat kemapanan yang diinginkan (level 4).

Assessment yang dilakukan berdasarkan maturity attribute dari setiap

proses yang terdapat pada domain DS. Berikut ini adalah daftar maturity attribute

beserta deskripsi dari setiap level dari attribute tersebut.


53


Tabel 5.7 Maturity Attribute

ML Awareness andCommunication (AC)

Policies, Plans andProcedures (PPP)

Tools and Automation(TA)

Skills and Expertise(SE)

Responsibility andAccountability (RA)

Goal Setting andMeasurement (GM)

1 Recognition of theneed for the process isemerging. There issporadiccommunication of theissues.

There are adhocapproaches toprocesses and practices.The process and policiesare undefined.

Some tools may exist;usage is based onstandard desktop tools.There is no plannedapproach to the toolusage.

Skill required for theprocess are notidentified. A trainingplan does not exist andno formal trainingoccurs.

There is no definitionof accountability andresponsibility. Peopletake ownership ofissues based on theirown initiative on areactive basis.

Goals are not clearand no measurementtakes place.

2 There is awareness ofthe need to act.Managementcommunicates theoverall issues.

Similar and commonprocesses emerge, butare largely intuitivebecause of individualexpertise. Some aspectsof the process arerepeatable because ofindividual expertise, andsome documentation andinformal understandingof policy and proceduresmay exist.

Common approaches touse of tools exist butare based on solutionsdeveloped by keyindividuals. Vendortools may have beenacquired, but areprobably not appliedcorrectly, and may evenbe shelfware.

Minimum skillrequirements areidentified for criticalareas. Training isprovided in response toneeds, rather than onthe basis of an agreedplan, and informaltraining on the joboccurs.

An individual assumeshis/her responsibilityand is usually heldaccountable, even ifthis is not formallyagreed. There isconfusion aboutresponsibility whenproblems occur, and aculture of blametrends to exist.

Some goal settingoccurs; somefinancial measuresare established butare known only bysenior management.There is inconsistentmonitoring inisolated areas.


54




(AC)





Measurement (GM)

3 There isunderstanding ofthe need to act.Management ismore formal andstructured in itscommunication.

Usage of goodpractices emerges. Theprocess, policies andprocedures are definedand documented for allkey activities.

A plan has beendefined for use andstandardisation oftools to automate theprocess. Tools arebeing used for theirbasic purposes, butmay not all be inaccordance with theagreed plan, and maynot be integrated withone another.

Skill requirements aredefined and documentedfor all areas. A formaltraining plan has beendeveloped, but formaltraining is still based onindividual initiatives.

Process responsibility andaccountability are definedand process owners havebeen identified. Theprocess owner is unlikelyto have the full authorityto exercise theresponsibilities.

Some effectiveness goalsand measures are set, butare not communicated, andthere is a clear link tobusiness goals.Measurement processesemerge, but are notconsistently applied. ITbalanced scorecard ideasare being adopted, as isoccasional intuitiveapplication of root causeanalysis.

4 There isunderstanding ofthe fullrequirements.Maturecommunicationtechniques areapplied andstandardcommunicationtools are in use.

The process is soundand complete; internalbest practices areapplied. All aspects ofthe process aredocumented andrepeatable. Policieshave been approvedand signed off on bymanagement. Standardsfor developing andmaintaining theprocesses andprocedures are adoptedand followed.

Tools are implementedaccording to astandardised plan, andsome have beenintegrated with otherrelated tools. Toolsare being used in mainareas to automatemanagement of theprocess and monitorcritical activities andcontrols.

Skill requirements areroutinely updated for allareas, proficiency isensured for all criticalareas, and certificationis encouraged. Maturetraining techniques areapplied according to thetraining plan, andknowledge sharing isencouraged. All internaldomain experts areinvolved, and theeffectiveness of thetraining plan is assessed.

Process responsibility andaccountability areaccepted and working in away that enables aprocess owner to fullydischarge his/herresponsibilities. A rewardculture is in place thatmotivates positive action.

Efficiency and effectivenessare measured andcommunicated and linkedto business goals and theIT strategic plan. The ITbalanced scorecard isimplemented in some areaswith exceptions noted bymanagement and rootcause analysis is beingstandardised. Continuousimprovement is emerging.


55




(AC)





Measurement (GM)

5 There is advanced,forward-lookingunderstanding ofrequirements.Proactivecommunication ofissues based ontrends exists,maturecommunicationtechniques areapplied, andintegratedcommunicationtools are in use.

External best practicesand standards areapplied. Processdocumentation isevolved to automatedworkflows. Processess,policies and proceduresare standardised andintegrated to enableend-to-end managementand improvement.

Standardised tools setsare used across theenterprise. Tools arefully integrated withother related tools toenable end-to-endsupport of theprocesses. Tools arebeing used to supportimprovement of theprocess andautomatically detectcontrol exceptions.

The organisationformally encouragescontinuous improvementof skills, based onclearly defined personaland organisationalgoals. Training andeducation supportexternal best practicesand use of leading-edgeconcepts and techniques.Knowledge sharing is anenterprise culture, andknowledge-basedsystems are beingdeployed. Externalexperts and industryleaders are used forguidance.

Process owners areempowered to makedecisions and take action.The acceptance ofresponsibility has beencascaded downthroughout theorganisation in aconsistent fashion.

There is an integratedperformance measurementperformance measurementsystem linking ITperformance to businessgoals by global applicationof the IT balancedscorecard. Exceptions areglobally and consistentlynoted by management androot cause analysis isapplied. Continuousimprovement is a way oflife.


56


Setelah mengetahui acuan dalam memberikan nilai setiap atribut, pada

tahapan selanjutnya akan dilakukan pemetaan kondisi eksisting dalam sistem

penilaian tersebut sehingga dapat diketahui nilai untuk setiap proses pada domain

DS.

5.2.1 DS1 Define and Manage Service LevelProses yang pertama pada domain DS adalah define and manage service

level. Pada proses ini mempunyai tujuan untuk membentuk komunikasi yang

efektif dan selaras antara management TI dengan business customer terkait

dengan layanan yang dibutuhkan oleh bisnis. Keselarasan pemahaman tersebut

didokumentasikan dalam dokumen service level agreement (SLA). Pada proses ini

juga akan melihat aktifitas monitoring dan pelaporan pencapaian SLA secara

rutin.

Selanjutnya akan disampaikan hasil analisa maturity level (ML) sesuai

dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.3.Tabel 5.8 Assessment Maturity Level DS1 define and manage service level

MA Current Condition ML Evidence Status

AC - Untuk meningkatkan awareness dancommunication telah dilakukansosialisasi rutin 1 tahun sekali melaluiforum pembahasan service levelquality (SLQ) antar Divisi di PT BEI(diatur juga dalam pedomanpengelolaan layanan TI).

- Telah dilakukannya programinduksi untuk karyawan baru.

- Adanya pelaporan pencapaian SLAkepada user pada setiap bulannya.

- Telah dilakukannya survey kepuasanpelanggan.

1 Meet

2 - Materi induksi karyawanbaru.- Dokumen SLQ

Meet

3 - Dokumen SLQ.- Materi induksi karyawanbaru.- Form laporan SLA.- Form survey kepuasanpelanggan.

Meet

4 - Pada saat ini belumterdapat tools untukmembantu peningkatanawareness dancommunication.

NotMeet

5 NotMeet


57


Tabel 5.3 Assessment Maturity Level DS1 define and manage service level (lanjutan)


PPP - Terdapat Pedoman PengelolaanTingkat Layanan TI yang sudahmengacu ke ITIL v.3 dan terdapatprosedur SOP 023-ManajemenPelayanan.- Terdapat dokumen Service LevelQuality yang selaras antar Divisi,SLA terkait sistem perdagangan yaitu:99, 75%, dan SLA terkait sistemperkantoran yaitu 95%.- Unit Operasi Bisnis (ITB) dan UnitOperasi Perkantoran (ITO) menyusunlaporan SLA untuk aplikasi-aplikasiutama kepada user.- Monitoring SLA untuk servicerequest dilakukan oleh Unit sistemmanagement dan dilaporkan setiapbulan kepada Kepala Divisi OperasiTI dan Direktur.- Review kontrak dilakukan oleh UnitNTS.- Pelaporan SLA kepada user padasaat ini masih belum dilakukan secararegular. Sedangkan laporan keDirektur TI dalam laporan bulanan,secara rutin sudah dijalankan.

1 Meet

2 - Dokumen SLQ Meet

3 - Dokumen SLQ- Laporan SLA sistem- Laporan SLA Service

Request- Dokumen SLA Insiden.

Meet

4 - Pelaporan kepada userbelum dilakukan secararegular.

NotMeet

5 NotMeet

TA - Pada saat ini di PT BEI telahterdapat aplikasi sistem manajemenyang disebut aplikasi Service desk danaplikasi Budget Realization digunakanuntuk monitoring anggaran yangdimiliki oleh Divisi IT dan Divisiuser.- Dashboard di Service desk dapat dikustomisasi sesuai level akses.- Manajemen dapat memberikanapproval melalui aplikasi Servicedesk.- Terdapat alert jika sudah mendakatiSLA untuk insiden dan servicerequest.

1 - Print aplikasi Servicedesk.

Meet


Meet


Meet


Meet

5 NotMeet


58




SE - Keahlian yang dibutuhkan sudahtercantum pada job requirementpersonil terkait.

- Untuk meningkatkan kemampuankaryawan, BEI melakukan training ITIL, CCNA, Windows, Linux,exchange dan lain-lain.

- Di dalam Job description telahterdapat job specification dan jobrequirement Untuk masing-masingjabatan.

- Pada saat ini PT BEI telahmempunyai karyawan yang memilikisertifikasi ITIL versi 3

1 Meet

2 - Job requirement padaJob description DivisiOperasi TI (OTI).- Data Pelatihan tahun2012

Meet


Meet

4 - Printscreen buktisertifikasi IT-IL versi 3.

Meet

5 NotMeet

RA - Pihak yang betanggung jawab ataspemenuhan SLA adalah Unit operasiperkantoran dan Unit operasi bisnisyang akan didukung oleh UnitNetwork dan Technical Support (NTS)sebagai second layer support.- SLA disusun berdasarkankesepakatan antara user dengan timTI.- Pihak yang bertanggung jawabmengenai pemenuhan SLA untukmenangani request management(permintaannya disebut servicerequest) adalah Unit SM.- Pihak yang bertanggung jawabmenangani permintaan pengembanganadalah Divisi Pengembangan TI (PTI).- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet

2 - Job description KepalaDivisi OTI.- Job description KepalaDivisi PTI.- Job description KepalaUnit ITO dan ITB

Meet

3 - Job description KepalaDivisi OTI.- Job description KepalaDivisi PTI.- Job description KepalaUnit ITO dan ITB

Meet

4 - Job description KepalaDivisi OTI.- Job description KepalaDivisi PTI.- Job description KepalaUnit ITO dan ITB- KPI Divisi OTI

Meet

5 NotMeet


59




GM - Untuk mengukur keberhasilankomunikasi yang sudah dilakukanmenggunakan KPI Kepala Divisi OTIyang tercantum pada area Improveavailability and reliability of internalIT operation, yang mencakup:1. Menjaga SLA sistem perdagangandan sistem perkantoran.2. Memenuhi SLA Incident.3. Memenuhi SLA Layanan Servicedesk.

- Apabila SLA tidak tercapai hal iniakan performance appraisal, terkaitdengan kenaikan gaji dan bonus.- Setiap Divisi memiliki rangkingkaryawan pada saat performanceappraisal berdasarkan pencapaianKPI.

1 Meet

2 - Dokumen acuan SLAService Request.- Dokumen acuan SLAInsiden.

Meet

3 -- Dokumen acuan SLAService Request.- Dokumen acuan SLAInsiden.

Meet

4 - KPI Kepala Divisi OTI. Meet

5 NotMeet

Berdasarkan hasil assessment nilai maturity level dari setiap maturity

attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS1 define

and manage service level adalah 3.67, jika dibulatkan ke bawah menjadi 3.

5.2.2 DS2 Manage Third Party ServicesProses yang kedua pada domain DS adalah manage third party services.

Pada proses ini mempunyai tujuan untuk memastikan bahwa service atau layanan

yang diberikan oleh pihak ketiga (rekanan atau vendor) dapat memenuhi

kebutuhan bisnis. Untuk mencapai hal tersebut dibutuhkan adanya definisi secara

jelas mengenai peran, tanggung jawab dan harapan terhadap pihak ketiga yang

tertuang dalam perjanjian kerja sama. Dalam hal ini termasuk proses review dan

monitoring pelaksanaan perjanjian tersebut untuk meningkatkan efektifitas dan

kepatuhan dalam perjanjian tersebut.


dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.4.


60


Tabel 5.9 Assessment Maturity Level DS2 Manage Third Party Services


AC - Untuk meningkatkan awareness dancommunication telah dilakukanpemaparan untuk menjelaskan SLAdan layanan yang dibutuhkan padasaat pengadaan jasa pemeliharaanaplikasi atau perangkat.- Telah dilakukan sosialisasi adanyaevaluasi kinerja rekanan kepadainternal Divisi OTI terutama staff UnitNTS. dan kepada rekanan yangterpilih untuk melakukanpemeliharaan.

1 Meet

2 - Dokumen Request ForQuotation (RFQ) untukpemeliharaan perangkatatau aplikasi.

Meet

3 - Dokumen Request ForQuotation (RFQ) untukpemeliharaan perangkatatau aplikasi.- Dokumen JointPlanning Session.

Meet


NotMeet

5 NotMeet

PPP - Pada saat ini, dalam perjanjianpemeliharaan dibagi menjadi 2 yaitupreventive maintenance (per 3 bulan)dan remedial maintenance (jika terjadikerusakan) dengan SLA yangmencakup respon time, onsite danresolution time.- Terdapat prosedur yang mengaturpelaksanaan maintenance dan prosesevaluasi pasca dilakukan maintenance- Pihak yang melakukan koordinasidalam melakukan preventivemaintenance dan remedialmaintenance adalah adalah Unit NTS.- Pengelolaan Pihak Ketiga diaturdalam Pedoman Tata Kelola TI yangsudah mengacu kepada ISO27001.- Belum terdapat kebijakan danprosedur yang mengatur mengenaiaudit vendor dan mekanisme teguranterhadap vendor yang kinerjanyakurang baik.

1 Meet

2 - Contoh Form EvaluasiPreventive Maintenance.- Contoh Form EvaluasiRemedial Maintenance.

Meet

3 - Contoh KontrakMaintenance Hardware.- Contoh KontrakMaintenance Software.- Pedoman Tata KelolaTI.

Meet

4 - Pada saat ini belumterdapat kebijakan danprosedur yang mengaturmengenai audit vendorsecara rutin.- Belum terdapatpengaturan mengenaimemberikan teguranterhadap vendor yangkinerjanya kurang baik.

NotMeet

5 NotMeet


61


Tabel 5.410 Assessment Maturity Level DS2 Manage Third Party Services (lanjutan)


TA - Aplikasi yang digunakan adalahService desk untuk membantu dalampencatatan incident dan problem diinternal PT BEI belum terkoneksi kepihak ketiga atau vendor.- Untuk penyimpanan databasevendor masih menggunakan MSexcel.

1 - Database Vendor /supplier dalam formatexcel.

Meet

2 - Database Vendor /supplier dalam formatexcel.

Meet

3 - Print screen padaaplikasi Service desk.- Database Vendor /supplier dalam formatexcel.

Meet

4 - Belum terdapat toolsyang terintegrasi untukmembantu efektifitasproses.

NotMeet

5 NotMeet

SE - Keahlian yang dibutuhkan sudahtercantum pada job requirementpersonil terkait.- Untuk meningkatkan kemampuankaryawan, BEI melakukan trainingITIL, CCNA, CDCP dan lain-lain.- Belum terdapat PIC dari Unit NTSyang mempunyai sertifikasi terkaitpengelolaan pihak ketiga, misalnya ITVendor management.

1 Meet

2 - Job requirement padaJob description DivisiOperasi TI (OTI).

Meet


Meet

4 - Belum terdapat PICyang mempunyaisertifikasi untukpengelolaan vendor.

NotMeet

5 NotMeet


62


Tabel 5.4 Assessment Maturity Level DS2 Manage Third Party Services (lanjutan)


RA - Pihak yang terkait dalampengelolaan pihak ketiga adalah UnitNTS.- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet

2 - Job description KepalaUnit NTS.- Job description StaffUnit NTS.

Meet

3 - Job description KepalaUnit NTS.- Job description StaffUnit NTS.

Meet

4 - Job description KepalaUnit NTS.- Job description StaffUnit NTS.- KPI Kepala Unit NTS

Meet

5 NotMeet

GM - KPI Pengelolaan pihak ketiga sudahterdapat pada KPI Kepala Unit NTS- Pengukuran yang dilakukan terkaitkinerja rekanan dalam melakukanproblem solving apakah sesuai denganSLA ataukah tidak.

1 Meet

2 -- Form evaluasi remedialmaintenance

Meet

3 -- Form evaluasi remedialmaintenance

Meet

4 - Form evaluasi remedialmaintenance- KPI Kepala Unit NTS

Meet

5 NotMeet


attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS2 manage

third party services adalah 3.33, jika dibulatkan ke bawah menjadi 3.


63


5.2.3 DS3 Manage Performance and CapacityProses yang ke tiga pada domain DS adalah manage performance and

capacity. Pada proses ini mempunyai tujuan untuk mengelola performance dan

kapasitas sumber daya TI, untuk melakukan hal tersebut membutuhkan adanya

proses review secara periodik terhadap performance dan kapasitas sumber daya

TI. Proses ini mencakup proses peramalan (forecast) kebutuhan di masa

mendatang berdasarkan data historis dan persyaratan kontingensi. Hasil yang

didapatkan dari proses ini adalah adanya garansi bahwa sumber daya TI dapat

tersedia sesuai dengan kebutuhan bisnis.



Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity


AC - Pada saat ini monitoring sistemdilakukan setiap hari danpelaporannya disampaikan secararutin kepada user.- Pada tool monitoring telah terhubungke sms gateway.- Sedangkan untuk pengukurankapasitas dilakukan setiap 3 bulan danpeloporannya disampaikan kepadaKepala Divisi OTI dan Direktur TI.

1 Meet

2 - Checklist monitoring Meet

3 - Checklist monitoring- Laporan PengelolaanKapasitas.

Meet

4 - Adanya aplikasimonitoring yang terkaityang dapat memberikannotifikasi jika terdapatsistem yang melebihitreshold

Meet

5 NotMeet


64


Tabel 5.5 Assessment Maturity Level DS3 Manage Performance and Capacity (lanjutan)


PPP - Kegiatan pengukuran kapasitas danperformance asset TI dilakukan rutinsetiap 3 bulan.- Pengukuran kapasitas danperformance server berdasarkan datapenggunaan yang tertinggi dalam 3bulan, meliputi memory, processordan harddisk.- Forecast dilakukan untuk estimasikebutuhan kapasitas untuk 1 tahun kedepan berdasarkan data historis 1tahun ke belakang. Data historisdidapatkan dari tool monitoring.- Pengukuran kapasitas pada saat inibaru dilakukan untuk me-reviewsistem eksisting, pada saat dilakukanimplementasi sistem baru belumdilakukan pengukuran kapasitas .

1 Meet

2 - SOP-OTI-025-CapacityPlanning- Contoh FORM-OTI-025-01-Form RekapitulasiKapasitas.

Meet

3 - SOP-OTI-025-CapacityPlanning- Contoh FORM-OTI-025-01-Form RekapitulasiKapasitas.

Meet

4 - Pada saat ini belumdilakukan pengukurankapasitas pada saatdilakukan implementasisistem baru, enhancementataupun update versi.

NotMeet

5 NotMeet

TA - Aplikasi yang digunakan untukmonitoring performance adalahSolarwind, Openview, Whatsup Gold.- Solarwind dan Openview sudah

terkoneksi dengan exchange dam SMSgateway. Alert disampaikan kepersonil in charge (PIC), KepadaUnit, Kepala Divisi OTI.

1 Meet

2 - Capture tool monitoring- Bukti capture emailnotifikasi.

Meet


Meet


Meet

5 NotMeet


65




SE - Untuk meningkatkan kemampuankaryawan, BEI melakukan trainingtraining ITIL, tool monitoring,Windows, Linux, exchange dan lain-lain.- PIC yang melakukan forecastingtelah mengambil mata kuliah teknikperamalan dan mempunyai sertifikasiITIL.

1 Meet

2 - Data Pelatihan 2011-2012 untuk Divisi OTI..

Meet

3 - Data Pelatihan 2011-2012 untuk Divisi OTI.

.

Meet

4 - Data Pelatihan 2011-2012 untuk Divisi OTI.- Print screen transkipnilai kuliah dan sertifikatITIL v3.

Meet

5 NotMeet

RA - Pihak yang berperan dalampengelolaan kapasitas danperformance asset TI adalah Staff UnitITB/ITO, Staff Unit SM, Kepala UnitITB/ITO, Kepala Unit SM dan KepalaDivisi OTI.- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet

2 - Job description KepalaDivisi OTI.- Job description KepalaUnit SM, ITB dan ITO.- Job description StaffUnit SM, ITB dan ITO.

Meet

3 - Job description KepalaDivisi OTI.- Job description KepalaUnit SM, ITB dan ITO.- Job description StaffUnit SM, ITB dan ITO.

Meet

4 - Pada saat ini belumterdapat reward culturekarena belum dimasukkandalam KPI.

NotMeet

5 Meet


66




GM - Pada KPI Kepala Unit dan staffbelum terdapat pengukuran spesifikmengenai kapasitas.

1 Meet

2 - Dokumen SLA tahunan. Meet

3 - Pada saat ini belumterdapat mekanismepengukuran (KPI).

NotMeet

4 NotMeet

5 NotMeet



performance and capacity adalah 3,33, jika dibulatkan ke bawah menjadi 3.

5.2.4 DS4 Ensure Continuous ServiceProses yang ke empat pada domain DS adalah ensure continuous service.

Pada proses ini mempunyai tujuan untuk memastikan adanya keberlangsungan

layanan TI, untuk itu dibutuhkan adanya rencana, pemeliharaan dan pengujian IT

continuity plan,penggunaan backup storage dan secara rutin melakukan simulasi

dengan user bisnis. Adanya proses ini diharapkan dapat mengurangi kemungkinan

dan dampak yang diakibatkan oleh adanya gangguan layanan TI khususnya pada

sistem bisnis utama.




67


Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service


AC - Pada tahun 2012 BEI membentukUnit BCM yang berada di bawahDivisi MRI. Unit BCM ini telahdisahkan dan disosialisasikan.- BEI telah melakukan sosialisasi atasprosedur BCP dan DRP ke pihakterkait. Sosialisasi rutin dilakukan 2kali setahun pada saat simulasi DRCcorporate.- Untuk meningkatkan awareness dankomunikasi pada proses ini telahdilakukan simulasi DRC rutin DRCbulanan yang melibatkan user

1 Meet

2 - Laporan hasil pengujianDRC bulanan (internal)

Meet

3 - Bahan sosialisasi UnitBCM.- Daftar hadir sosialisasiUnit BCM- Dokumentasi simulasiDRC corporate

Meet


NotMeet

5 NotMeet

PPP - Pada proses ini telah dilakukan ujicoba setiap bulan yang menjagasystem readiness yang melibatkanuser pemilik sistem dan TI.- Selain itu, dilakukan juga simulasiBCP dengan skala corporate dimanapengujiannya melibatkan pihak-pihakeksternal.- Setiap divisi yang sudah termasukpada fungsi BCP memiliki prosedurBCP untuk operasional harian diDRC.- SOP BCP dari Divisi OTI adalahPenanganan Masalah, PermintaanLayanan, Start up dan Shut downSistem Perdagangan Saham,Manajemen User Account, BackupData Sistem Perkantoran, BackupData Sistem Perdagangan Saham.- pada saat ini antara prosedur incidentmanagement dengan proses aktifasiDRC belum terdapat aturan yang baku

1 Meet

2 - SOP BCP Divisi OTI.- Pedoman BCP.- Hasil pengujian DRC.

Meet


Meet

4 - pada saat ini belumterdapat alignment antaraprosedur incidentmanagement denganproses aktifasi DRC.

NotMeet

5 NotMeet


68


Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service (lanjutan)


TA - Pada proses ini terdapat foldersharing ISO di dalam server storage.

1 Meet

2 - Capture tool sharingfolder pada server storage

Meet

3 - Capture tool sharingfolder pada server storage

Meet


NotMeet

5 NotMeet

SE - Pada proses ini telah dilakukanPelatihan BCP.- Di dalam Job description telahterdapat job specification dan jobrequirement untuk masing-masingjabatan.

1 Meet


Meet


Meet

4 - pada saat ini belumterdapat alignment antaraprosedur incidentmanagement denganproses aktifasi DRC.

NotMeet

5 NotMeet


69


Tabel 5.6 Assessment Maturity Level DS4 Ensure Continuous Service (lanjutan)


RA - Koordinator BCM bertanggungjawab mengkoordinasikan kesiapanfasilitas dan personil penunjangoperasional perusahaan dalam kondisidarurat serta mengkoordinasikanusaha pemulihannya.- Staff Operasional BusinessContinuity bertanggung jawab dalammelaksanakan kegiatan operasionalseluruh fungsi Business ContinuityManagement (termasuk di dalamnyafungsi DRC maintenance, DRCactivation,dan main site restoration)- Staff Business Continuity Planningbertanggung jawab dalam melakukanpengembangan fungsi DRC danmemastikan kesertaraan sistem diTCC dan DRC. Hal ini untukmemastikan kesiapan fasilitaspenunjang operasional perusahaandalam kondisi darurat.

1 Meet

2 - Job desc KoordinatorBCM.- Job desc Kepala DivisiOTI.- Job desc Kepala UnitNTS, ITB, ITO.

Meet

3 - Job desc KoordinatorBCM.- Job desc Kepala DivisiOTI.- Job desc Kepala UnitNTS, ITB, ITO.

Meet

4 - KPI Kepala Divisi OTI.- KPI Kepala Unit BCM.

Meet

5 NotMeet

GM - Pengukuran tercantum pada KPIKepala Divisi OTI tercantum padaarea improve availability andreliability of internal IT operation.

1 Meet

2 - Dokumen SLA tahunan. Meet

3 -- Dokumen SLA tahunan.

Meet

4 - KPI Kepala Divisi OTI.- KPI Kepala Unit BCM.

Meet

5 NotMeet


attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS4 ensure

continuous service adalah 3,33, jika dibulatkan ke bawah menjadi 3.


70


5.2.5 DS5 Ensure System SecurityProses yang ke lima pada domain DS adalah ensure system security. Pada

proses ini mempunyai tujuan untuk memelihara confidentiality, integrity,dan

availability informasi dan menjaga asset TI. Pada proses ini mencakup pembuatan

dan maintaining IT security roles, responsibilities, policies, standards, and

procedures. Security management yang efektif melindungi asset TI untuk

meminimalisir dampak terhadap bisnis karena adanya security vulnerabilities and

incidents.


dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.7.Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security


AC - BEI telah memiliki PedomanKeamanan Informasi untuk mengaturconfidentiality, integrity, danavailability informasi.- BEI telah melakukan securityawareness training ISO 27001 sertaISMS Awareness Training.- OTI memberikan sosialisasikeamanan informasi tentang proteksiUSB.- OTI telah melakukan sosialisasiterkait perubahan panjang passwordmelaui broadcast email.

1 Meet

2 - Materi Sosialisasi ISO27001.- Email broadcast terkaitperubahan panjangpassword.- ISMS AwarenessTraining IDX.

Meet

3 - Materi Sosialisasi ISO27001.- Email broadcast terkaitperubahan panjangpassword.- ISMS AwarenessTraining IDX.

Meet


NotMeet

5 NotMeet


71


Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security (lanjutan)


PPP - BEI telah memiliki PedomanKeamanan Informasi yang mengacupada ISO 27001.- BEI memiliki Prosedur KeamananInformasi yang memuat prosedurakses kontrol dan keamanan passwordserta mengenai incident security.- BEI telah menerapkan domaincontrol untuk mengatur user account.- BEI juga telah melakukanpenetration test secara berkala setiaptahun.- Enkripsi, firewall, security device,network segmentation, instrusiondetection dan anti virus telahditerapkan.- BEI telah membentuk komite SMKIuntuk menangani Information Security(disebut ISEG).

1 Meet

2 - SOP Incidentmanagement.- Hasil penetration test.- Contoh InsidenKeamanan Informasi.

Meet

3 - SOP manajemen useraccount.- SOP Incidentmanagement.- Pedoman KeamananInformasi.

Meet

4 - SK Pembentukan SMKI.- SOP manajemen useraccount.- SOP Incidentmanagement.- Pedoman KeamananInformasi.- Hasil penetration test.

Meet

5 NotMeet

TA - Tools yang digunakan pada prosesini adalah Tools Monitoring, IPS, IDS,Web Filtering, Blue Coat, NAC. ToolsMonitoring diawasi oleh Unit Operasisecara bergantian (shift).- Anti virus telah terintegrasi denganIDS dan antispam, menggunakanproduk yang sama.

1 Meet

2 - Capture tool monitoring.- Capture managementanti virus.

Meet


Meet


Meet

5 NotMeet


72


Tabel 5.7 Assessment Maturity Level DS5 Ensure System Security (lanjutan)


SE - Untuk meningkatkan keahlian telahdilakukan pelatihan CISSP kepadapihak-pihak yang terkait.- Menyelenggarakan pelatihan terkaitISO27001.

1 Meet

2 - Materi training CISSP Meet3 - Materi training CISSP. Meet4 - Belum terdapat PIC

yang memiliki sertifikasiterkait security seperticertified informationsecurity manager (CISM)atau CISSP.

NotMeet

5 NotMeet

RA - SMKI bertanggung jawab dalampengelolaan terkait keamananinformasi.- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet

2 - SK Pembentukan SMKI.- Job description KepalaUnit NTS.- Job description StaffUnit NTS.

Meet

3 - SK Pembentukan SMKI.- Job description KepalaUnit NTS.- Job description StaffUnit NTS.

Meet


NotMeet

5 NotMeet

GM Perusahaan belum memiliki KPIspesifik mengenai pengukuranpengelolaan keamananinformasi/insiden keamananinformasi.

1 Meet

2 - Penyelenggaraanpenetration test secararutin.

Meet

3 - Pada saat ini belumterdapat mekanismepengukuran.

NotMeet

4 NotMeet

5 NotMeet


attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS5 ensure

system security adalah 3.17, jika dibulatkan ke bawah menjadi 3.


73


5.2.6 DS6 Identify and Allocate CostProses yang ke enam pada domain DS adalah identify and allocate cost.

Kebutuhan sistem yang adil dan merata dalam mengalokasikan biaya TI untuk

mendukung kegiatan bisnis memerlukan pengukuran akurat dari biaya TI dan

dibutuhkan adanya kesepakatan dengan pengguna bisnis dalam mengalokasikan

biaya TI yang adil. Proses ini meliputi melakukan identifikasi, mengalokasikan

dan melaporkan biaya TI kepada pengguna jasa.


dengan kondisi eksisting untuk 6 maturity atribut (MA) pada tabel 5.8.Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost


AC - Untuk meningkatkan awareness dankomunikasi mengenai anggaran TI,telah dilakukan meeting koordinasiinternal (antara TI dan user) ketikameeting penyusunan RKAT (rencanakegiatan anggaran tahunan).- Adanya pemberitahuan kepada useruntuk menitipkan anggaranpemeliharaan.- Laporan penggunaan anggaran TIsecara rutin telah dilaporakan kemanagement dan divisi keuangan, tapibelum dilaporkan kepada user.

1 Meet

2 - Jadwal meeting RKAT.- Form titipan anggaran.- Laporan bulanan.

Meet

3 - Jadwal meeting RKAT.- Form titipan anggaran.- Laporan bulanan.

Meet


NotMeet

5 NotMeet

PPP - Pada saat ini sudah mempunyaipedoman pengelolaan investasi untukmengukur manfaat (terutama bagibisnis) dari investasi yang dilakukan.- Pada saat menyusun RKAT terdapatkoordinasi antara TI dengan timbisnis.- Terkait proses pengadaan, umumnyauser menitipkan anggarannya keDivisi OTI menggunakan FormPerencanaan Pengadaan Barang/JasaOperasional TI.- Pengembalian atas investasi (ROI)belum dilakukan secara komprehensif- BEI belum menerapkan ITChargeback

1 Meet

2 - RKAT. Meet

3 - Pedoman PengelolaanInvestasi.- RKAT.

Meet

4 - BEI belum menerapkanIT Chargeback- Pengembalian atasinvestasi (ROI) belumdilakukan secarakomprehensif

NotMeet

5 NotMeet


74


Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost (lanjutan)


TA - Terdapat tools untuk monitoringanggaran TI yaitu denganmenggunakan aplikasi budgetrealization.

1 Meet

2 - aplikasi BudgetRealization.

Meet


Meet


Meet

5 NotMeet

SE - Untuk membuat anggaran proyek TIterdapat sosialisasi penyusunananggaran yang diberikan oleh DivisiKeuangan dan dilakukan workshopmengenai pembuatan business plan.- Telah dilakukan sosialisasi mengenaiformulir RKAT dan aplikasi kepadapihak-pihak yang terkait.- PIC merupakan lulusan akuntansicomputer.

1 Meet

2 - Daftar hadir sosialisasibusiness plan.- Materi sosialisasi dariDiv Keuangan.

Meet

3 - Daftar hadir sosialisasibusiness plan.- Materi sosialisasi dariDiv Keuangan.

Meet

4 - Daftar hadir sosialisasibusiness plan.- Materi sosialisasi dariDiv Keuangan.- Transkip nilai danIjazah.

Meet

5 NotMeet


75


Tabel 5.8 Assessment Maturity Level DS6 Identify and Allocate Cost (lanjutan)


RA - Budget proyek dianggarkan olehmasing-masing Divisi user.- Budget pada Divisi OTI dikelolaoleh Unit SM.- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet

2 - Job description KepalaUnit SM.

Meet

3 - Job description KepalaUnit SM.

Meet

4 - Job description KepalaUnit SM.- KPI Unit SM.

Meet

5 NotMeet

GM Pengukuran dilakukan berdasarkanstandar KPI, di mana sisa anggaranbudget minimal 10% dan over budgetdilakukan maksimal 1 tahun sekali.

1 Meet

2 - KPI Kepala Divisi OTI.- KPI Kepala Unit SM.

Meet


Meet


Meet

5 NotMeet


attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS6 identify

and allocate cost adalah 3,67, jika dibulatkan ke bawah menjadi 3, jika dibulatkan

ke bawah menjadi 3.

5.2.7 DS7 Educate and Train UsersProses yang ke tujuh pada domain DS adalah educate and train users.

Pelatihan yang efektif untuk semua pengguna sistem TI, termasuk untuk internal

TI, membutuhkan adaya identifikasi kebutuhan pelatihan dari masing-masing

kelompok pengguna. Proses ini termasuk mendefinisikan dan melaksanakan

strategi untuk pelatihan yang efektif dan mengukur hasilnya.


76




Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users


AC - BEI memberikan edukasi untukEUC (End User Computing) berupatraining atau sosialisasi.- BEI melakukan evaluasi hasiltraining yang diberikan untuk user.- BEI memberikansosialisasi/pelatihan terkait aplikasibaru.

1 Meet

2 - Pengenalan dasaraplikasi baru.- Pengenalan aplikasienkripsi flashdisk (EEFF).- Materi pelatihan servicedesk.

Meet

3 - Pengenalan dasaraplikasi baru.- Pengenalan aplikasienkripsi flashdisk (EEFF).- Materi pelatihan servicedesk.

Meet


NotMeet

5 NotMeet

PPP - BEI telah melakukan training danmemperoleh feedback dari user.- BEI memberikan training untukaplikasi baru kepada user dan kepadaoperasional TI.- Pada SOP Change Managementtertera bahwa syarat live untuk suatuaplikasi salah satunya adalahmenyelenggarakan training kepadauser dan untuk Divisi OTI.

1 Meet

2 - Training Feedback FormUser.- SOP ChangeManagement.

Meet


Meet


Meet

5 NotMeet


77


Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users (lanjutan)


TA - Untuk penggunaan tools tergantungdari aplikasi yang digunakan olehuser, di mana user menguji di areadevelopment.- Feedback form masih diisi secaramanual.

1 Meet

2 - Training FeedbackForm User.

Meet

3 - Training FeedbackForm User.

Meet


NotMeet

5 NotMeet

SE - Training atau pelatihan disesuaikandari kebutuhan proyek dan strukturproyek.- Untuk kegiatan pengembangantrainer dari pengembang aplikasi(bukan dari internal).- Untuk training mengenai aplikasiinternal dan penggunaan perangkatcomputer dilakukan oleh Divisi OTI.

1 Meet

2 - Job description KepalaUnit dan staff Unit SM.

Meet

3 - Job description KepalaUnit dan staff Unit SM.

Meet

4 - Belum terdapat PICyang memiliki sertifikasiterkait pelaksanaanpelatihan seperti CertifiedTraining Professional.

NotMeet

5 NotMeet

RA - Pihak yang bertanggung jawabadalah Divisi OTI dan PTI, tergantungyang terlibat di dalam proyek.

1 Meet

2 - Job description KepalaDivis PTI dan Divisi OTI- Contoh request forproposal (RFP).

Meet

3 - Job description KepalaDivis PTI dan Divisi OTI- Contoh request forproposal (RFP).

Meet


NotMeet

5 NotMeet


78


Tabel 5.9 Assessment Maturity Level DS7 Educate and Train Users (lanjutan)


GM Pengukuran dilakukan berdasarkanstandar KPI, di mana sisa anggaranbudget minimal 10% dan over budgetdilakukan maksimal 1 tahun sekali.

1 Meet

2 - Pelatihan dilakukanuntuk karyawan baru

Meet

3 - Pada saat ini belumterdapat mekanismepengukuran.

NotMeet

4 NotMeet

5 NotMeet


attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS7 educate

and train users adalah 3,00.

5.2.8 DS8 Manage Service desk and IncidentsProses yang ke delapan pada domain DS adalah manage service desk and

incid. Respon yang tepat waktu dan efektif terhadap permintaan dan masalah dari

pengguna, membutuhkan design dan penerapan service desk yang baik serta

adanya proses incident management yang jelas. Pada proses ini termasuk

pendefinisian fungsi service desk untuk pendaftaran, eskalasi, membuat trend

analisys dan mencari root cause serta mencari permanent solution dari suatu

masalah.




79


Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents


AC - Untuk meningkatkan awareness dancommunication telah dilakukansosialisasi/workshop mengenaipengelolaan service desk dan incidentkepada pihak-pihak yang terkait dankepada karyawan baru.- Telah dilakukan sosialisasi mengenaiSLA incident pada forum pembahasanSLQ.

1 Meet

2 - Materi sosialisasiPenggunaan Service desk.- Dokumen SLQ.

Meet

3 - Materi sosialisasiPenggunaan Service desk.- Dokumen SLQ.

Meet


NotMeet

5 NotMeet

PPP - Pada saat ini sudah terdapat SOPincident management.- Insiden dan service request dapatdiisi oleh semua user dengan mengisiticket request melalui aplikasi servicedesk.- Di dalam service desk tersebutterdapat workflow yangmenggambarkan proses persetujuandari service request, sejak diisi olehuser hingga akhirnya menjadi solusi.- PIC yang berperan dalam memantauproses di service desk adalah Unit SM.- Terkait penanganan incident, PICservice desk akan memilihkategorisasi, eskalasi insiden, danclosing jika telah diterapkansolusinya.

1 Meet

2 - Prosedur PermintaanLayanan.- Prosedur Incidentmanagement- Laporan Bulanan OTI.

Meet

3 - Prosedur PermintaanLayanan.- Prosedur Incidentmanagement.- Laporan SLA Incident.- Laporan SLA ServiceRequest.- Laporan Bulanan OTI.

Meet

4 - Prosedur PermintaanLayanan.- Prosedur Incidentmanagement.- Laporan SLA Incident.- Laporan SLA ServiceRequest.- Laporan Bulanan OTI.

Meet

5 NotMeet


80


Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents (lanjutan)


TA - Tools yang digunakan adalahaplikasi service desk untuk seluruhkaryawan BEI.- Pada aplikasi service desk ini,apabila service request dan incidenttelah diselesaikan secara otomatis tikettersebut akan di update statusnyamenjadi resolved. Di mana tikettersebut dikembalikan ke user danmenunggu tanggapan denganmaksimal 3 hari, apabila tidak adatanggapan maka akan berubahmenjadi closed.

1 Meet

2 - Contoh di Service desk.- Contoh aplikasi Servicedesk.- Contoh tiket insiden.- Contoh tiket resolve.

Meet


Meet


Meet

5 NotMeet

SE - Dalam meningkatkan keahlian tiappersonil telah dilakukan pelatihanITIL dan pelatihan Service desk.- Di dalam Job description telahterdapat job specification danrequirement untuk masing-masingjabatan.- PIC telah mempunyai sertifikasiITIL v3.

1 Meet

2 - Job description UnitSM, ITO dan ITB.

Meet


Meet

4 - Sertifikat ITIL v3.- Job description UnitSM, ITO dan ITB.

Meet

5 NotMeet

RA - PIC service desk adalah Unit SM.- First level support untuk incidentadalah Unit operasi perkantoran (ITO)dan operasi bisnis (ITB).- Second level support untuk incidentadalah Unit NTS- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet


Meet


Meet

4 - KPI Unit SM, ITO danITB.

Meet

5 NotMeet


81


Tabel 5.10 Assessment Maturity Level DS8 Manage Service desk and Incidents (lanjutan)


GM - Pengukuran yang dilakukan dalamproses ini adalah pengukuran SLAincident dan SLA layanan servicedesk.- Pengukuran tercantum pada KPIKepala Divisi OTI tercantum padaarea Improve availability andreliability of internal IT operation,yaitu :'Operational Service Index Target:78% Mencakup pemenuhan:1. Problem Solving 70%* (bobot 20%)2. SLA Incident 80% (bobot 40%)3. SLA Layanan Service desk: 80%(bobot 40%)'.

1 Meet


Meet


Meet


Meet

5 NotMeet



service desk and incidents adalah 3,83, jika dibulatkan ke bawah menjadi 3.

5.2.9 DS9 Manage ConfigurationProses yang ke sembilan pada domain DS adalah manage configuration.

Memastikan integritas konfigurasi hardware dan software memerlukan adanya

pemeliharaan suatu repositori konfigurasi yang akurat dan lengkap. Proses ini

termasuk mengumpulkan informasi konfigurasi awal, membangun baseline,

verifikasi dan audit data/informasi konfigurasi serta memperbarui repositori

konfigurasi yang disesuaikan dengan kebutuhan.




82


Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration


AC - Untuk melakukan awareness dancommunication telah dilakukansosialisasi dengan Divisi PTI.- Pada saat pengembangan sistembaru, dari Divisi PTI meng-updateform konfigurasi dan kemudiandiserahkan ke Divisi OTI.

1 Meet

2 - Dokumentasi reviewkonfigurasi.

Meet

3 - Dokumentasi reviewkonfigurasi.

Meet


NotMeet

5 NotMeet

PPP - Pada saat ini sudah terdapat prosedurterkait dengan configurationmanagement.- Terdapat form konfigurasi yangberisi konfigurasi asset untuk sistemperkantoran dan sistem perdagangan.- Pengelola konfigurasi apabilaterdapat update konfigurasi yangterkait dengan change managementadalah Unit SM -- Base line konfigurasi telah di susun

pada tahun 2009.- Proses review dan audit konfigurasibelum dilakukan secara regular,dibutuhkan adanya tool untukmemudahkan proses review dan auditkonfigurasi.

1 Meet

2 - SOP ConfigurationManagement.- Form Konfigurasi.- Lampiran AturanPenamaan Konfigurasidan Versioning.

Meet

3 - SOP ConfigurationManagement.- Form Konfigurasi.- Lampiran AturanPenamaan Konfigurasidan Versioning.

Meet

4 - Proses review dan auditkonfigurasi belumdilakukan secara regular.

NotMeet

5 NotMeet


83


Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration (lanjutan)


TA - File yang digunakan disimpan didalam folder sharing.- Identifikasi dan pencatatan assetmasih dilakukan secara manualberdasarkan data pengadaan dansurvey di lapangan.- Belum terdapat configurationmanagement database (CMDB).

1 Meet

2 - Capture sharing folderyang menyimpan formkonfigurasi.

Meet

3 - Capture sharing folderyang menyimpan formkonfigurasi.

Meet


NotMeet

5 NotMeet

SE - Training yang dilakukan untukproses ini adalah pelatihan ITIL.- PIC yang bertanggung jawab untukuntuk memelihara dokumenkonfigurasi sudah mempunyaisertifikasi ITIL.

1 Meet

2 - Job description UnitITO dan ITB.

Meet


Meet

4 - Sertifikat ITIL v3.- Job description UnitITO dan ITB.

Meet

5 NotMeet

RA - Pihak yang bertanggung jawabdalam proses ini adalah Divisi OTIyaitu Unit SM, Unit ITB/ITO danNTS, Divisi PTI yaitu Unit APP danINT.- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet


Meet


Meet

4 - KPI Kepala Unit ITB. Meet

5 NotMeet


84


Tabel 5.11 Assessment Maturity Level DS9 Manage Configuration (lanjutan)


GM - Sudah terdapat KPI mengenaiconfiguration management, terkaitdengan jumlah review konfigurasiuntuk memastikan kebenaran isi dariform konfigurasi.

1 Meet




5 NotMeet



configuration adalah 3.50, jika dibulatkan ke bawah menjadi 3.

5.2.10 DS10 Manage ProblemProses yang ke sepuluh pada domain DS adalah manage problem. Problem

management yang efektif memerlukan identifikasi dan klasifikasi masalah,

analisis root cause dan mencari permanent solution dari suatu masalah. Pada

proses ini juga mencakup perumusan rekomendasi untuk perbaikan, pemeliharaan

dokumentasi permasalahan yang terjadi dan solusi yang digunakan untuk

memperbaiki masalah tersebut.




85


Tabel 5.12 Assessment Maturity Level DS10 Manage Problem


AC - Untuk melakukan awareness dancommunication telah dilakukansosialisasi mengenai proses ini antaraunit ITO&ITB sebagai first level danunit NTS sebagai 2nd level.- Terdapat laporan penangananproblem kepada kepala Divisi danDirektur TI.

1 Meet

2 - Laporan penangananproblem.

Meet

3 - Laporan penangananproblem.

Meet


NotMeet

5 NotMeet

PPP - Pada saat ini sudah terdapat SOPterkait problem management.- Problem merupakan insiden yangberulang sehingga dibutuhkan sebuahsolusi permanen atau incident yangkritikal yang harus dicarikan rootcause dan permanent solution-nyasehingga tidak terjadi kembali.- Semua problem dicatat di sistemService desk, dimonitor,didokumentasikan dandikomunikasikan kepada pihak-pihakterkait.- Pada saat penanganan problem, UnitNTS akan berkoordinasi denganvendor pemelihara, Unit operasi danDivisi PTI (jika diperlukan).- Terdapat laporan bulanan mengenaipenanganan problem, disertai dengananalisa root cause dan permanentsolution.

1 Meet

2 - Laporan penangananproblem.- SOP PenangananMasalah.- Trouble Ticket.

Meet


Meet


Meet

5 NotMeet


86


Tabel 5.12 Assessment Maturity Level DS10 Manage Problem (lanjutan)


TA - Problem yang terjadi dilaporkanmelalui service desk, kemudianservice desk akan transfer ticketproblem tersebut kepada unit NTSuntuk diselesaikan.- Problem sudah terintegrasi denganproses pengajuan service request danincident ticket.

1 Meet

2 - Contoh di Service desk.- Contoh tiket problem.

Meet


Meet


Meet

5 NotMeet

SE - Untuk meningkatkan keahlianpersonil dalam proses ini telahdilakukan pelatihan technical sepertidatabase, sistem operasi dan network.

1 Meet

2 - Job description UnitNTS.

Meet


Meet

4 - Sertifikat databaseInformix dan linux.- Daftar Pelatihan 2012

Meet

5 NotMeet

RA - Pihak yang bertanggung jawabdalam mengelola problem adalah UnitNTS.- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet


Meet


Meet

4 - Job description. KepalaUnit NTS.- KPI Unit NTS.

Meet

5 NotMeet


87


Tabel 5.12 Assessment Maturity Level DS10 Manage Problem (lanjutan)


GM - Pengukuran dilakukan berdasarkandengan KPI mengenai penangananproblem.- Pengukuran tercantum pada KPIKepala Divisi OTI dan KPI KepalaUnit NTS yang tercantum pada areaImprove availability and reliability ofinternal IT operation, yaitu :'Operational Service Index Target:78% Mencakup pemenuhan:1. Problem Solving 70%* (bobot 20%)2. SLA Incident 80% (bobot 40%)3. SLA Layanan Service desk: 80%(bobot 40%)’.

1 Meet

2 - KPI Divisi OTI.- KPI Unit NTS.

Meet


Meet


Meet

5 NotMeet


attribute di atas maka dapat diketahui nilai kemapanan untuk proses DS10

manage problem adalah 3,83, jika dibulatkan ke bawah menjadi 3.

5.2.11 DS11 Manage DataProses yang ke sebelas pada domain DS adalah manage data. Manajemen

data yang efektif membutuhkan adanya identifikasi kebutuhan data. Proses

manajemen data juga mencakup pembuatan prosedur yang efektif untuk

mengelola media backup, tata cara backup dan restore data, serta pemusnahan

media backup dengan tepat.




88


Tabel 5.13 Assessment Maturity Level DS11 Manage Data


AC - Untuk meningkatkan awareness dancommunication telah dilakukansosialisasi secara internal dalamproses ini.- Pasca dilakukan backup, hasilnyadilaporkan kepada user.

1 Meet

2 - Contoh laporan backup. Meet

3 - Contoh laporan backup.- Dokumen SLQ

Meet


NotMeet

5 NotMeet

PPP - BEI memiliki Pedoman Tata KelolaTI yang mengatur tentang manajemendata.- Backup data dilakukan secara rutin.Backup sistem operasional bisnisdilakukan setiap sore hari (sesuaidengan jadwal). Proses backup sistemperkantoran dilakukan dengansinkronisasi storage setiap 5 menit kestorage di DRC.- Data historis disimpan dengan masaretensi data selama 5 tahun.- Pengujian restore dilakukan padasaat pengujian internal bulanan DRC.- Laporan backup kepada user belumdilakukan secara regular, sedangkanuntuk proses backupnya sendiri sudahdilakukan dengan baik.

1 Meet

2 - SOP Backup data.- Contoh laporan backup.- Laporan PengujianDRC.

Meet

3 - SOP Backup data.- Contoh laporan backup.- Laporan PengujianDRC.

Meet

4 - Laporan backup kepadauser belum dilakukansecara regular.

NotMeet

5 NotMeet


89


Tabel 5.13 Assessment Maturity Level DS11 Manage Data (lanjutan)


TA - Tools backup yang digunakan untuksistem perdagangan adalah brightstoresedangkan sistem perkantorandibackup dengan memanfaatkan fitursnap mirror untuk sinkronisasistorage.

1 Meet

2 - capture tool backup. Meet



5 NotMeet

SE - Telah dilakukan pelatihan internalterhadap proses backup data danpelatihan penggunaan tool backup.- Belum terdapat PIC yang memilikisertifikasi untuk penggunaan toolbackup dan backup server storage.

1 Meet


Meet


Meet

4 - Belum terdapat PICyang memiliki sertifikasiterkait pelaksanaanbackup sistem.

NotMeet

5 NotMeet

RA - Pihak yang bertanggung jawabadalah Level Operasi pada masing-masing Unit (ITB dan ITO).- Staff ITO dan ITB bertanggungjawabmelakukan proses backup sesuaidengan prosedur yang berlaku- Kepala Unit ITO dan ITBbertanggungjawab memastikan prosesbackup rutin berjalan dengan baik dansesuai rencana.- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet

2 - Job description UnitITO.- Job description UnitITB.

Meet


Meet


Meet

5 NotMeet


90


Tabel 5.13 Assessment Maturity Level DS11 Manage Data (lanjutan)


GM - Pengukuran dilakukan berdasarkanKPI dan SLA yang telah ditentukan.- Pengukuran terhadap kepuasanpengguna dengan ketersediaan datasudah dicantumkan/ditambahkan kedalam form kepuasan pelanggan/user.- Pada KPI kepala Unit operasi sudahtertera sasaran yang ingin dicapaiyaitu, proses restore paling tidakberhasil dilakukan 2x dalam satutahun.

1 Meet




5 NotMeet



manage data adalah 3.50, jika dibulatkan ke bawah menjadi 3.

5.2.12 DS12 Manage The Physical EnvironmentProses yang ke dua belas pada domain DS adalah manage the physical

environment. Perlindungan untuk peralatan komputer dan personel TI

membutuhkan adanya fasilitas fisik yang dirancang dan dikelola dengan baik.

Proses pengelolaan lingkungan fisik meliputi mendefinisikan persyaratan lokasi

data center, memilih sarana yang tepat dan merancang proses yang efektif untuk

monitoring environmental factors dan mengelola akses fisik ke data center.




91


Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment


AC - Untuk meningkatkan awareness dancommunication telah dilakukansosialisasi periodik review tahunan.- Diselenggarakannya pelatihan bagiuser tentang data center.

1 Meet

2 - Materi Training DataCenter.- sertifikat CDCP yangdimilik oleh user.

Meet

3 - Materi Training DataCenter.- sertifikat CDCP yangdimilik oleh user.

Meet


NotMeet

5 NotMeet

PPP - Pada saat ini sudah terdapat SOPuntuk mengatur akses ke ruang server.Bagi orang yang tidak mempunyaiakses harus mengajukan permintaanakses ke kepala Unit/kepala DivisiOTI. Ketika masuk ruang data centerharus didampingi PIC dari Unitterkait.- Pengelola DRC memiliki SLA24jam x 7, dan sudah sertifikasiISO27001.- Perijinan akses ke ruang data centerpada saat ini belum dijalankan secararegular, hal ini bisa dilihat dari logbuku tamu dan form akses ke datacenter masih belum sesuai (terdapatperbedaan data). Namun untukpendampingan pasti dilakukan.

1 Meet

2 - Buku tamu di ruangserver.

Meet

3 - SOP akses ruang server.- Form akses ruangserver.- Buku tamu di ruangserver.

Meet

4 - Perijinan akses ke ruangdata center pada saat inibelum dijalankan secararegular.

NotMeet

5 NotMeet


92


Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment (lanjutan)


TA - Physical security sudah diterapkandengan menggunakan kartu, sidik jari,CCTV, smoke detector, alat pemadam,satpam yang berjaga dengan sistemshift 24 jam.- Integrasi finger print dan cardsystem.

1 Meet

2 - Kartu Akses BEI.- Biometric.

Meet


Meet


Meet

5 NotMeet

SE - Sudah terdapat PIC yang mempunyaisertifikasi CDCP dan dari businessuser juga sudah ada yang memilikisertifikasi CDCP.

1 Meet

2 - Job description Security,Teknisi dan Kepala DivisiUmum

Meet


Meet

4 - SK Pembentukan SMKI.- Sertifikasi CDCP.

Meet

5 NotMeet

RA - Pihak yang bertanggung jawabdalam proses ini adalah Divisi Umumdan Divisi OTI.- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet


Meet


Meet

4 - Job description KepalaDivisi OTI.- KPI Teknisi.- KPI Security.- KPI KoordinatorSecurity.

Meet

5 NotMeet


93


Tabel 5.14 Assessment Maturity Level DS12 Manage The Physical Environment (lanjutan)


GM - Pengukuran tercantum pada KPISecurity, Koordinator Security,Teknisi, serta Sarana dan Prasarana,yaitu sebagai berikut:1. Melakukan pengamanan pada setiapkegiatan kontraktor atau vendor yangberada di lokasi proyek agar sesuaidengan ketentuan revitalisasi proyekdan pengerjaan sesuai jadwal.2. Memastikan insfrastrukturpenunjang sarana perdagangan yaitulistrik, UPS, AC dengan ketersediaan100% yang mencakup target 1 downcase dan 0,1% down time.3. Assessment atas pemenuhan standaroperasional optimal penunjangperdagangan pada computer room danlingkungan kerja BEI.

1 Meet

2 - SLA Review BulananOTI.- KPI Teknisi.- KPI Security.- KPI KoordinatorSecurity.Divisi UMM.

Meet

3 - SLA Review BulananOTI.- KPI Teknisi.- KPI Security.- KPI KoordinatorSecurity.Divisi UMM.

Meet

4 - KPI Teknisi.- KPI Security.- KPI KoordinatorSecurity.Divisi UMM.

Meet

5 NotMeet



manage the physical environment adalah 3.67, jika dibulatkan ke bawah menjadi

3.

5.2.13 DS13 Manage OperationsProses yang ke tiga belas pada domain DS adalah manage operations.

Pengolahan data yang lengkap dan akurat membutuhkan manajemen yang efektif

untuk prosedur pengolahan data dan pemeliharaan perangkat keras yang baik.

Proses ini termasuk menentukan kebijakan operasional dan prosedur manajemen

yang efektif untuk penjadwalan kegiatan, melindungi output yang sensitif,

monitoring performamance dari infrastruktur dan memastikan terselenggaranya

preventive maintenance.




94


Tabel 5.15 Assessment Maturity Level DS13 Manage Operations


AC - Untuk meningkatkan awareness dancommunication telah dilakukansosialisasi kepada divisi user dan Unityang terkait, training penggunaantools setiap pengadaanperangkat/aplikasi, training penerapanSOP, instruksi kerja, dan checklistoperasional.- Adanya serah terima pekerjaan antarshift.

1 Meet

2 - Form serah terimaoperasional.- Form serah terima shift.

Meet

3 - Form serah terimaoperasional.- Form serah terima shift.

Meet


NotMeet

5 NotMeet

PPP - BEI melakukan backup datadilakukan secara rutin dan melakukanpengujian restore untuk tape backup.- BEI menerapkan job schedulingdilakukan untuk memenuhi kebutuhanbisnis seperti job scheduling untukbackup data.- Monitoring terhadap infrastrukturditerapkan sebagai usaha perlindunganatas aset TI.- Maintenance hardware dikelolauntuk mengurangi kemungkinanterjadinya kegagalan dalamoperasional.- BEI menerapkan perlindunganphysical access dan logical access.

1 Meet

2 - Checklist operasional- Form serah terimaoperasional dan serahterima shift.

Meet


Meet


Meet

5 NotMeet

TA - Tools yang digunakan dalammelakukan monitoring bisnis adalaha. Openview yang digunakan untukmengetahui availability server.b. whatsup gold untuk mengetahuikoneksi dari Anggota Bursa (AB) keBEI dengan memasang agent di routerAB, sedangkan untuk officemenggunkan solarwind.- Backup dibantu dengan toolbrightstore dan snap mirror.

1 Meet

2 - Capture tool monitoring.- Capture tool backup.

Meet


Meet


Meet

5 NotMeet


95




SE - Pelatihan spesifik yang dibutuhkanadalah Database, Programming,Networking dan Operation System.- Belum terdapat sertifikasi ITIL, toolmonitoring dan tool backup pada PICdi Unit operasi.

1 Meet

2 - Job description unitITB, ITO dan NTS.

Meet

3 - Job description unitITB, ITO dan NTS.

Meet

4 - Belum terdapat PICyang memiliki sertifikasiterkait pelaksanaanoperasional harian (ITIL).

NotMeet

5 NotMeet

RA - Pihak yang bertanggung jawabterhadap proses ini adalah Divisi OTI,khususnya pada Unit ITB dan ITO.- Keberhasilan dalam memenuhi KPIakan mempengaruhi performanceevaluation dan berpengaruh kepadaperhitungan bonus.

1 Meet


Meet


Meet


Meet

5 NotMeet


96




GM - Pengukuran dilakukan berdasarkanKPI service request dan SLA Officeyang telah ditentukan.'Pengukuran tercantum pada KPIKepala Divisi OTI tercantum padaarea Improve availability andreliability dan achieve highavailability and realiability of internalIT operation, yaitu :1. Operational Service Index Target:78% Mencakup pemenuhan:- Problem Solving 70%*- SLA Incident 80%- SLA Layanan Service desk: 80%2. Downtime trading system: 0,25%atau 6 jam (saham)3. Trading facility recovery timeTarget: 2012: Max. 2 jam (diluardisaster); Max. 6 jam (DRC siap).4. Maximum number of website downcases: 6.5. Maximum number of IDXnet downcases: 66. % of datafeed downtime: 0,25%atau maksimum 6 jam.

1 Meet

2 - KPI Kepala Divisi OTI.- KPI Kepala Unit ITO danITB.

Meet


Meet


Meet

5 NotMeet



manage operation adalah 3.67, jika dibulatkan ke bawah menjadi 3.


97


5.2.14 Nilai Kemapanan untuk domain DSBerdasarkan hasil assessment di atas dapat diketahui nilai maturity level dari setiap maturity attribute pada tabel 5.16.

Tabel 5.16 nilai maturity level pada domain DS

Kode Proses Awareness andCommunication

Policies, Plansand Procedures

Tools andAutomation

Skills andExpertise

Responsibility andAccountability

Goal Settingand

MeasurementRata-Rata

DS1Define and manage servicelevels. 3 3 4 4 4 4 3.67

DS2 Manage third-party services. 3 3 3 3 4 4 3.33

DS3Manage performance andcapacity. 4 3 4 4 3 2 3.33

DS4 Ensure continuous service. 3 3 3 3 4 4 3.33

DS5 Ensure systems security. 3 4 4 3 3 2 3.17

DS6 Identify and allocate costs. 3 3 4 4 4 4 3.67

DS7 Educate and train users. 3 4 3 3 3 2 3

DS8Manage service desk andincidents. 3 4 4 4 4 4 3.83

DS9 Manage the configuration. 3 3 3 4 4 4 3.5

DS10 Manage problems. 3 4 4 4 4 4 3.83

DS11 Manage data. 3 3 4 3 4 4 3.5

DS12Manage the physicalenvironment. 3 3 4 4 4 4 3.67

DS13 Manage operations. 3 4 4 3 4 4 3.67


98


Nilai maturity level dari suatu proses pada domain DS didapatkan dari

rata-rata maturity level dari setiap attribute. Setelah diketahui nilai maturity level

dari setiap proses dapat diketahui nilai maturity level rata-rata untuk domain DS

adalah 3.5, kalau dibulatkan ke bawah menjadi 3.

5.3 Rekomendasi PerbaikanSetelah melakukan assessment di atas, langkah selanjutnya adalah

membuat rekomendasi berdasarkan hasil assessment maturity level untuk setiap

maturity attribute.

Berikut ini akan disampaikan rekomendasi untuk peningkatan nilai

maturity level untuk setiap maturity attribute yang nilainya masih di bawah 4,

akan dibuatkan rekomendasi untuk mencapai nilai maturity level 4. Detil dari

rekomendasi dapat dilihat pada tabel 5.17.

Tabel 5.17 Rekomendasi Perbaikan Berdasarkan AttributeProses Attribute Rekomendasi

DS1 DS1AC Perusahaan direkomendasikan untuk mengembangkan tools yang

digunakan untuk melakukan survey kepuasan pelanggan, serta untuk

monitoring SLA. Tools yang dibuat bisa seperti forum menggunakan

vbuletin atau LimeSurvey.

DS1PPP Perusahaan direkomendasikan untuk melakukan penunjukan PIC IT

governance pada setiap Unit di Divisi OTI sehingga pembuatan laporan

SLA dapat lebih konsisten.

DS2 DS2AC Perusahaan direkomendasikan untuk mengembangkan tools yang

digunakan untuk melakukan pengelolaan atas data vendor dan

monitoring kinerja vendor.

DS2PPP Perusahaan direkomendasikan untuk melakukan update pada SOP

Pemeliharaan dan Evaluasi Sistem untuk menambahkan mekanisme

teguran dan menambahkan kebijakan audit vendor.

DS2TA Perusahaan direkomendasikan untuk mengembangkan tools yang

digunakan untuk melakukan pengelolaan atas data vendor dan

monitoring kinerja vendor. Misalnya tools yang dapat diintegrasikan

dengan sistem service desk.

DS2SE Perusahaan direkomendasikan untuk mengikuti pelatihan Certified IT

Vendor Management atau ITIL versi 3.


99


Tabel 5.17 Rekomendasi Perbaikan Berdasarkan AttributeProses Attribute Rekomendasi

DS3 DS3PPP Perusahaan direkomendasikan untuk melakukan update pada SOP

Capacity Management untuk menambahkan kegiatan pengukuran

kapasitas pada saat implementasi sistem baru, enhancement atau update

versi aplikasi.

DS3RA Perusahaan direkomendasikan untuk menambahkan pada KPI kepala

Unit dan staf tentang pengukuran capacity sehingga jika dilakukan

dengan baik akan meningkatkan benefit bagi karyawan tersebut.

DS3GM Menyusun pengukuran dalam mengelola kinerja dan kapasitas yaitu

sebagai berikut:

1. Pengukuran terhadap jumlah jam yang hilang per pengguna dalam

sebulan karena tidak cukupnya perencanaan kapasitas.

2. Pengukuran persentase terhadap target pemanfaatan yang telah

terlampaui.

DS4 DS4AC Perusahaan direkomendasikan untuk mengembangkan aplikasi yang

dapat digunakan untuk menyediakan informasi terkait BCM. Contoh :

portal, milis.

DS4PPP Perusahaan direkomendasikan untuk melakukan update pada SOP

Incident management terkait mekanisme untuk aktivasi DRC.

DS4TA Perusahaan direkomendasikan untuk mengembangkan aplikasi yang

dapat digunakan untuk menyediakan informasi terkait BCM. Contoh :

aplikasi knowledge management yang nantinya dapat diintegrasi dengan

aplikasi service desk.

DS4SE Perusahaan direkomendasikan untuk memberikan pelatihan dan

sertifikasi terkait business continuity management seperti CBCP

(certified business continuity profesional).

DS5 DS5AC Perusahaan direkomendasikan untuk mengembangkan tools/aplikasi

yang dapat memberikan informasi terkait keamanan informasi. Contoh:

portal

DS5SE Perusahaan direkomendasikan untuk mengikuti sertifikasi Certified

Information Security Manager (CISM) bagi pihak yang terkait system

security.


Unit dan staf untuk memastikan information security sehingga jika

dilakukan dengan baik akan meningkatkan benefit bagi karyawan

tersebut.


100


Tabel 5.17 Rekomendasi Perbaikan Berdasarkan Attribute (lanjutan)Proses Attribute Rekomendasi

DS5 DS5GM Menyusun pengukuran dalam memastikan keamanan sistem, yaitu

sebagai berikut:

1.Jumlah insiden yang berdampak kepada reputasi Perusahaan

2. Jumlah sistem yang tidak memenuhi persyaratan keamanan informasi

3. Jumlah pelanggaran dalam segregation of duties.

DS6 DS6AC Perusahaan direkomendasikan untuk mengembangkan tools yang dapat

digunakan untuk menginformasikan biaya yang telah digunakan ke

pihak-pihak terkait.

DS6PPP - Perusahaan direkomendasikan untuk melakukan perhitungan

pengembalian atas investasi (ROI) dalam setiap pengembangan. Selain

itu dibutuhkan juga metode pengukuran yang komprehensif seperti

information economics.

- Perusahaan direkomendasikan untuk menerapkan IT chargeback.

Membuat prosedur untuk pemberlakuan chargeback.

DS7 DS7AC Perusahaan direkomendasikan untuk mengembangkan tools

communication yang dapat digunakan untuk melakukan

training/sosialisasi aplikasi/teknologi yang baru (e-learning).

DS7TA Perusahaan direkomendasikan untuk mengembangkan tools

communication yang dapat digunakan untuk melakukan

training/sosialisasi aplikasi/teknologi yang baru misalnya e-learning

atau knowledge management.

DS7SE Perusahaan direkomendasikan untuk mengikuti Certified Training

Professional (CTP).


Unit dan staf untuk memastikan kebutuhan training bagi user sehingga

jika dilakukan dengan baik akan meningkatkan benefit bagi karyawan

tersebut.

DS7GM Menyusun pengukuran dalam memastikan training untuk user, yaitu

sebagai berikut:

1. Frekuensi training kepada user

2. Time lag antara dibutuhkannya suatu pelatihan dengan pelaksanaan

pelatihan.


101




dapat memberikan informasi status proses penanganan insiden ke pihak-

pihak terkait dan bisa memungkinkan user untuk memberikan feedback

atas pelayanan yang telah diberikan.

DS9 DS9AC Perusahaan direkomendasikan untuk menggunakan tools otomatis

dalam mengelola dan memonitor konfigurasi.

DS9PPP Perusahaan direkomendasikan untuk melakukan penunjukan PIC IT

governance pada setiap Unit di Divisi OTI dan mengembangkan tool

untuk memudahkan dalam melakukan review konfigurasi.

DS9TA Perusahaan direkomendasikan untuk menggunakan tools otomatis

dalam mengelola dan memonitor konfigurasi (CMDB) yang terintegrasi

dengan aplikasi service desk.


dapat memberikan informasi status proses penanganan problem ke

pihak-pihak terkait dan bisa memungkinkan user untuk memberikan

feedback atas pelayanan yang telah diberikan.

DS11 DS11AC Perusahaan direkomendasikan untuk menggunakan tools otomatis

dalam mengelola media library, dan backup/restoration data.

DS11PPP Perusahaan direkomendasikan untuk melakukan update pada

mekanisme pelaporan kepada user dengan meng-update form laporan

hasil backup, form dilaporkan kepada Kepala Divisi OTI dan Direktur

TI, kemudian hasilnya disampaikan kepada user.

DS7SE Perusahaan direkomendasikan untuk mengikuti training sertifikasi

backup data, misalnya sertifikasi untuk fitur snap mirror dari storage

netapp.

DS12 DS12AC Perusahaan direkomendasikan untuk mengembangkan tools monitoring

yang terintegrasi sms gateway dan sistem exchange (Alert System).

DS12PPP Perusahaan direkomendasikan untuk melakukan penunjukan staff IT

governance untuk meningkatkan kepatuhan dalam permintaan ijin akses

ke ruang server.


102



DS13 DS13AC Perusahaan direkomendasikan untuk menggunakan tools otomatis untuk

melakukan operasional TI, dimana operasional akhirnya dijalankan

sesuai task yang telah ditetapkan.

DS13SE - Perusahaan direkomendasikan untuk menyusun training plan bagi

masing-masing fungsi sesuai skill yang harus dimiliki. Misalnya ITIL

untuk Unit operasi, yang saat ini belum dimiliki oleh perusahaan.

Berdasarkan hasil rekomendasi yang telah disusun di atas, secara garis

besar rekomendasi yang diusulkan dapat dikategorisikan sebagai berikut:

Tabel 5.18 Rekapan Rekomendasi

Maturity Attribute Rekomendasi

Awareness and

Communication

Melakukan penambahan ataupun pengembangan tools

untuk meningkatkan awareness and communication dengan

pihak-pihak terkait. ((DS1AC, DS2AC, DS4AC, DS5AC, DS6AC,

DS7AC, DS8AC, DS9AC, DS10AC, DS11AC, DS12AC, DS13AC)

Policies, Plans and

Procedures

1. Melakukan update dokumen SOP. (DS2PPP, DS3PPP,

DS4PPP, DS6PPP, DS11PPP).

2. Melakukan penunjukan staff yang bertanggung jawab

pada pelaksanaan IT Governance pada masing-masing

unit kerja. (DS1PPP, DS9PPP, DS12PPP)

3. Melakukan otomasi proses SOP yang masih manual

dengan melakukan pengembangan tools. (DS9PPP)

Tools and

Automation

Melakukan pengembangan tools untuk meningkatkan

kinerja operasional. (DS2TA, DS4TA, DS7TA, DS9TA)

Skills and Expertise Menyelenggarakan pelatihan yang bersertifikasi untuk

meningkatkan kemampuan personil TI, khususnya di Divisi

Operasi TI. (DS2SE, DS4SE, DS5SE, DS7SE, DS11SE, DS13SE)


103


Tabel 5.18 Rekapan Rekomendasi (lanjuta)


Responsibility and

Accountability

Menambahkan KPI untuk proses-proses yang saat ini masih

belum ditentukan measurement-nya serta menunjuk PIC

yang bertanggung jawab untuk KPI tersebut. (DS3RA,

DS5RA, DS7RA)

Goal Setting and

Measurement

Menambahkan KPI untuk proses-proses yang saat ini masih

belum ditentukan measurement-nya serta menunjuk PIC

yang bertanggung jawab untuk KPI tersebut. (DS3GM,

DS5GM, DS7GM)

5.4 Risk Assessment untuk Menentukan Prioritas RekomendasiSetelah diketehui daftar rekomendasi yang harus dilakukan, langkah

selanjutnya adalah menentukan prioritas dari setiap rekomendasi dengan

menggunakan bantuan metode risk management. Dalam hal ini akan dilakukan

risk assessment berdasarkan identifikasi risiko yang mungkin timbul karena belum

diterapkannya rekomendasi perbaikan yang telah disampaikan di atas.

Identifikasi risiko tersebut juga disesuaikan dengan risk driver (ITGI,

2007) yang terdapat pada control practice Cobit. Hasil risk assessment ini

diharapkan dapat menjadi salah satu pertimbangan bagi management dalam

menentukan rekomendasi yang akan diterapkan terlebih dahulu.

Sebelum melakukan risk assessment, terlebih dahulu akan disampaikan

mengenai klasifikasi dampak dari sisi financial dan likelihood yang akan

digunakan dalam risk assessment. Adapun klasifikasi dampak dan likelihood

dibagi menjadi 5 level, detilnya dapat dilihat pada tabel 5.19 dan tabel 5.20.

Tabel 5.19. Klasifikasi Dampak Manajemen Risiko BEISangat Tinggi Tinggi Sedang Rendah Sangat Rendah

Berdampak padakerugian financiallebih besar dariRp. 250.000.000,-

Berdampakpada kerugianfinancial lebihbesar dari Rp.50.000.000,-sampai denganRp.250.000.000,-

Berdampak padakerugianfinancial lebihbesar dari Rp.10.000.000,-sampai denganRp. 50.000.000,-

Berdampakpada kerugianfinancial lebihbesar dari Rp.5.000.000,-sampai denganRp.10.000.000,-

Berdampak padakerugian financialkurang dari Rp.5.000.000,-


104


Tabel 5.20. Klasifikasi likelihood Manajemen Risiko BEISangat Tinggi Tinggi Sedang Rendah Sangat Rendah

Lebih dari 6 kalidalam 1 tahun

Lebih dari 4kali sampaidengan 6 kalidalam 1 tahun

Lebih dari 2kali sampaidengan 4 kalidalam 1 tahun

Lebih dari 1 kalisampai dengan 2kali dalam 1tahun

Terjadi maksimal1 kali dalam 1tahun

Langkah selanjutnya adalah menentukan risk matrix berdasarkan nilai

likelihood dan dampak di atas. Risk matrix yang telah disusun dapat dilihat pada

tabel 5.21.

Tabel 5.21 Risk Matrix

Klasifikasi likelihood dan dampak serta penentuan risk matrix yang

digunakan dalam penelitian ini mengacu kepada pedoman manajemen risiko yang

diterapkan di PT BEI.

Setelah ditentukan mengenai klasifikasi likelihood, dampak dan risk

matrix maka selanjutnya akan mulai dilakukan risk assessment yang detail-nya

dapat dilihat pada tabel 5.22.

Tabel 5.22 Risk AssessmentKode Identifikasi Risiko Dampak Likelihood Risk

exposure

Mitigasi

RA1 Adanya perbedaan interpretasi

dan miss komunikasi

mengenai service yang

disediakan oleh TI.

Rendah Sedang Rendah DS1AC

RA2 Kekecewaan pengguna karena

kurangnya informasi, terlepas

dari kualitas layanan

Rendah Rendah Rendah DS1PPP

Sedang

Tinggi

Tinggi

Kritis

Kritis

Kritis

Tinggi Sangat Tinggi

Tinggi Rendah Sedang Tinggi

Sangat Tinggi Tinggi Tinggi Tinggi KritisKritis

KritisKritis

Impact

Likelihood

Rendah Rendah Sedang

RendahSangat Rendah

Rendah

Sangat Rendah Rendah Sedang

Rendah

Sedang RendahRendah Sedang

Rendah


105


Tabel 5.22 Risk Assessment (lanjutan)Kode Identifikasi Risiko Dampak Likelihood Risk

exposure

Mitigasi

RA3 Vendor tidak responsif atau

berkomitmen pada hubungan

kerjasama.

Sedang Sedang Sedang DS2AC

RA4 Adanya kinerja yang kurang

baik dan pelanggaran yang

dilakukan oleh pihak ketiga

Tinggi Rendah Sedang DS2PPP,

DS2TA,

DS2SE

RA5 Terjadinya downtime karena

peningkatan kapasitas pada saat

implementasi sistem baru.

Tinggi Rendah Sedang DS3PPP

RA6 Kurangnya motivasi kerja

karena belum adanya

peningkatan benefit ketika

sudah melakukan pekerjaannya

dengan baik

Sedang Sedang Sedang DS3RA

RA7 Kemungkinan tidak tercapainya

target dari suatu pekerjaan

karena target belum

dirumuskan secara jelas.

Sedang Sedang Sedang DS3GM

RA8 Kurangnya pengetahuan

mengenai proses BCP dan tidak

mengetahui apa yang harus

dilakukan saat terjadi disaster.

Tinggi Rendah Sedang DS4AC,

DS4TA,

DS4SE

RA9 Adanya keterlambatan aktivasi

DRC ketika terjadi suatu

insiden/problem.

Sangat

Tinggi

Sangat

rendah

Tinggi DS4PPP

RA10 Adanya pelanggaran keamanan

informasi oleh pihak internal


RA11 Adanya kesalahan konfigurasi

perangkat security ataupun

kesalahan dalam pemilihan

perangkat security

Tinggi Rendah Sedang DS5SE


106



exposure

Mitigasi

RA12 Kurangnya motivasi untuk

menjalankan kebijakan

keamanan informasi

Sedang Sedang Sedang DS5RA

RA13 Kemungkinan tidak tercapainya

target dari suatu pekerjaan

karena target belum

dirumuskan secara jelas.

Sedang Sedang Sedang DS5GM

RA14 Keputusan investasi

berdasarkan informasi biaya

tidak valid.

Tinggi Rendah Sedang DS6AC,

DS6PPP

RA15 Penggunaan layanan kurang

diukur dan gagal untuk

mencerminkan penggunaan

bisnis yang sebenarnya.

Sedang Rendah Sedang DS6PPP

RA16 Adanya kesalahan user dalam

menggunakan perangkat TI

atau sistem TI karena

kurangnya pelatihan.

Sedang Sedang Sedang DS7AC,

DS7TA,

DS7SE,

DS7RA,

DS7GM

RA17 Kurangnya perbaikan

pelayanan penanganan incident

karena kurangnya feedback dari

user.

Rendah Sedang Rendah DS8AC

RA18 Adanya kesalahan dalam

pencatatan konfigurasi asset TI

atau lupa untuk melakukan

update pencatatan konfigurasi.

Rendah Sedang Rendah DS9AC,

DS9PPP,

DS9TA

RA19 Waktu penanganan suatu

problem yang terlalu lama.


RA20 Terdapat kesalahan

penyimpanan media backup

dan kegagalan dalam

melakukan restore.

Rendah Sedang Rendah DS11AC,

DS11PPP


107



exposure

Mitigasi

RA21 Kegagalan dalam melakukan

backup data ataupun backup

sistem.

Tinggi Rendah Sedang DS11SE

RA22 Adanya pihak yang tidak

mempunyai authorisasi masuk

ke ruang server.

Rendah Rendah Rendah DS12AC,

DS12PPP

RA23 Ketidakmampuan untuk cepat

menangani masalah

operasional, staf baru dan

perubahan operasional.

Sedang Rendah Sedang DS13AC,

DS13SE

Risk assessment tersebut dilakukan penulis dengan tim internal Divisi

Operasi TI, untuk menentukan nilai impact dan likehood dari setiap risiko yang

diidentifikasi di atas. Risiko yang mempunyai risk exposure yang tinggi akan

lebih diprioritaskan untuk menerapkan control yang dapat digunakan untuk

mitigasi risiko tersebut.

5.5 Validasi RekomendasiLangkah selanjutnya yang dilakukan adalah melakukan validasi dan

konfirmasi hasil rekomendasi dengan internal Divisi Operasi TI. Hal ini dilakukan

dengan metode focus group discussion (FGD).

Validasi rekomendasi yang disampaikan disusun berdasarkan maturity

attribute, detilnya dapat dilihat pada tabel 5.23.


108


Tabel 5.23 Validasi Hasil Rekomendasi

MA Rekomendasi Prioritas

Risiko

Tanggapan

AC Memberikan usulan untuk

melakukan penambahan atau

pengembangan tools untuk

meningkatkan awareness and

communication. (DS1AC, DS2AC,

DS4AC, DS5AC, DS6AC,



DS13AC)

Rendah (RA1,

RA17, RA18,

RA20, RA22)

Menyetujui rekomendasi dan

selanjutnya akan melakukan

optimalisasi aplikasi human

resource information system

(HRIS) dengan menambahkan

forum IT governance pada aplikasi

tersebut. Target Agustus 2013.

Sedang (RA3,

RA8, RA10,

RA14, RA16,

RA19, RA23)

PPP 1. Melakukan update dokumen

SOP, yang meliputi:

a. SOP Pemeliharaan dan

Evaluasi Sistem, dengan

menambahkan mekanisme

teguran dan kebijakan audit

vendor. (DS2PPP)

Sedang (RA4) 1. Mengenai mekanisme teguran

akan dikenakan bagi vendor yang

kinerjanya kurang baik. Target

Januari 2013.

2. Menangai kebijakan audit hanya

dilakukan bagi vendor core sistem.

Target Januari 2013.

PPP b. SOP Capacity

Management, dengan

menambahkan kegiatan

pengukuran kapasitas pada

saat dilakukan

implementasi sistem baru

ataupun pengembangan

sistem. Hal ini sesuai

dengan ITIL versi 3.

(DS3PPP)

Sedang (RA5) Menyetujui usulan penambahan

pengukuran kapasitas pada saat

adanya enhancement atau

implementasi sistem baru. Target

Januari 2013.

PPP c. SOP Incident Management,

dengan menambahkan

mekanisme aktivasi DRC.

(DS4PPP)

Tinggi (RA9) Menyetujui usulan penambahan

mekanisme aktivasi DRC pada

SOP incident management, untuk

melakukan hal tersebut diperlukan

koordinasi dengan unit BCM.

Target Desember 2012.


109


Tabel 5.23 Validasi Hasil Rekomendasi (lanjutan)


Risiko

Tanggapan

PPP d. Pembuatan prosedur IT

Chargeback, dengan

pembuatan prosedur baru dan

metode untuk mengukur

suatu investasi. (DS6PPP)

Sedang (RA14

dan RA15)

1. Menyetujui usulan untuk

penerapan IT chargeback,

namun untuk penerapannya

harus berkoordinasi dengan

direktorat yang lain dan Divisi

keuangan. Target Juli 2013.

2. Menyetujui perhitungan

investasi dan pengukuran ROI,

dimulai pada saat pengajuan

proyek untuk tahun 2013. Target

Maret 2013.

PPP e. Melakukan update

mekanisme pelaporan

backup. (DS11PPP)

Rendah

(RA20)

Menyetujui usulan untuk update

mekanisme penyempaian

laporan backup. Target Januari

2013.

PPP 2. Melakukan penunjukan staff

yang bertanggung jawab pada

pelaksanaan IT Governance pada

masing-masing Unit kerja,

terutama untuk proses-proses

berikut ini:

a. Pelaporan SLA bulanan.

(DS1PPP)

b. Review konfigurasi secara

rutin. (DS9PPP)

c. Perijinan untuk masuk ke

ruang server. (DS12PPP)

Rendah (RA2,

RA18, RA222)

Menyetujui usulan untuk

melakukan penunjukan staff IT

governance pada setiap Unit.

a. Unit SM: Henny Susanti

b. Unit ITB: Adita Qintara

c. Unit ITO: Anindita Saktiaji

d. Unit NTS: Elsierra Putri

Yosita

Pemilihan nama-nama di atas

didasarkan kepada:

1. Pengetahuan IT governance

2. Pengamatan kondisi sehari-

hari dalam menjalankan tata

kelola.

3. Merupakan staff baru (kurang

dari 1 tahun) sehingga lebih

aware akan tata kelola



110




Risiko

Tanggapan

PPP 3. Melakukan otomasi proses SOP

yang masih manual dengan

melakukan pengembangan tool,

yaitu:

a. Tool untuk membantu

proses review konfiigurasi.

(DS9PPP)

Rendah

(RA18)


melakukan pengadaan tools

CMDB yang akan diintegrasikan

dengan sistem Service desk.

Pada saat ini sebenarnya sudah

dalam tahap pengembangan.

Target April 2013.

TA Melakukan pengembangan tools

untuk meningkatkan kinerja

operasional, yaitu:

a. Tool untuk memudahkan dalam

melakukan manage third party

service. (DS2TA)

Sedang (RA4) Menyetujui usulan ini, mungkin

bisa dilakukan dengan membuka

akses aplikasi service desk ke

pihak ketiga (vendor). Untuk

melakukan hal ini perlu

dilakukan kajian keamanannya.

Target pertengahan tahun karena

menunggu hasil kajian dan

risikonya juga tidak terlalu

tinggi. Target Maret 2013.

TA b. Implementasi tool Knowledge

Management untuk sosialisasi

penggunaan DRC dan untuk

memudahkan dalam melakukan

pelatihan bagi user. (DS4TA

dan DS7TA)

Sedang (RA8

dan RA16)



knowledge management, akan

tetapi pengadaan baru bisa

dilakukan pada tahun 2014

terkait dengan penyusunan

anggaran dan dokumen IT

Master Plan. Target tahun 2014.

TA c. Tool untuk membantu proses

review konfiigurasi. (DS9TA)

Rendah

(RA18)



CMDB yang akan diintegrasikan

dengan sistem Service desk.

Pada saat ini sebenarnya sudah

dalam tahap pengembangan.

Target April 2013.


111




Risiko

Tanggapan

SE Menyelenggarakan pelatihan yang

bersertifikasi untuk meningkatkan

kemampuan personil TI, khususnya

di Divisi Operasi TI. Daftar pelatihan

yang dibutuhkan yaitu:

a. IT vendor management, untuk

pengelolaan vendor. (DS2SE)

Sedang (R4) Menyetujui dilaksanakannya

pelatihan, hanya saja terdapat

batasan dalam 1 tahun maksimal

20% dari jumlah karyawan dari

Divisi yang dapat mengambil

pelatihan bersertifikasi (4

orang). Pelatihan vendor

management untuk unit NTS.

Target Maret 2013

SE b. Certified business continuity

professional, untuk perencanaan

business continuity planning.

(DS4SE)

Sedang (R8) Sehubungan dengan aplikasi

knowledge management baru

diimplementasi tahun 2014,

maka untuk pelatihan ini juga

ditunda sampai tahun 2014

(proses ini tidak bisa mencapai

nilai 4 pada tahun 2013).

Pelatihan CBCP untuk unit ITB.

Target Februari 2014.

SE c. Certified Information Security

Manager, untuk pengelolaan

information security. (DS5SE)

Sedang (R11) Pelatihan CISM untuk unit NTS.


SE d. Certified Training Professional,

untuk pelaksanaan training

kepada user. (DS7SE)

Sedang (R16) Pelatihan CTP untuk unit SM.

Sehubungan dengan aplikasi

knowledge management baru

diimplementasi tahun 2014,

maka untuk pelatihan ini juga

ditunda sampai tahun 2014

(proses ini tidak bisa mencapai

nilai 4 pada tahun 2013). Target

Maret 2014


112




Risiko

Tanggapan

SE e. NetApp Certified Backup and

Recovery, untuk pengelolaan

backup dan restore data.

(DS11SE)

Sedang (R21) Pelatihan tool backup untuk unit

ITO. Target Maret 2013.

SE f. ITIL versi 3, untuk pengelolaan

operasional. (DS13SE)

Sedang (R23) Pelatihan ITIL untuk unit ITB.


RA Menambahkan KPI untuk proses-

proses yang saat ini masih belum

ditentukan measurement-nya serta

menunjuk PIC yang bertanggung

jawab untuk KPI tersebut. Terdapat

beberapa proses yang belum

mempunyai KPI, yaitu:

a. Pengelolaan kapasitas. (DS3RA)

b. Pengelolaan keamanan

informasi. (DS5RA)

c. Pemberian pelatihan kepada

user. (DS7RA)

Sedang (RA6,

RA12, RA16)

Menyetujui penambahan KPI

yang akan mulai dimasukkan

untuk KPI pada tahun 2013.


GSM Menambahkan KPI untuk proses-

proses yang saat ini masih belum

ditentukan measurement-nya serta

menunjuk PIC yang bertanggung

jawab untuk KPI tersebut. Mengenai

KPI yang akan ditambahkan sama

dengan rekomendasi pada attribute

responsibility and accountability.

(DS3GM, DS5GM, DS7GM)

Sedang (RA7,

RA13, RA16)

Menyetujui penambahan KPI

yang akan mulai dimasukkan

untuk KPI pada tahun 2013.



113


5.6 Pembuatan Program dengan Bantuan ITILSetelah rekomendasi perbaikan dilakukan validasi, selanjutnya adalah

melakukan program yang dapat dilakukan dalam 2 bulan, yaitu:

1. Melakukan update SOP dan melakukan sosialisasi SOP yang telah

diperbaharui. Dalam melakukan update SOP akan memperhatikan

panduan yang terdapat pada ITIL.

a. SOP Pemeliharaan dan Evaluasi Sistem (Lampiran 2)

Melakukan penambahan kebijakan pemberian teguran kepada

vendor yang kinerjanya kurang baik. Hal ini mengacu pada

proses supplier management yang terdapat di ITIL.Tabel 5.24 Supplier Management

Sub Proses Rencana Perbaikan

Providing theSupplierManagementFramework

Tidak ada

Evaluation of newSuppliers andContracts

Tidak ada

Establishing newSuppliers andContracts

Tidak ada

Processing ofStandard Orders

Tidak ada

Supplier and ContractReview

a. Diperlukan adanya evaluasi rutin

dan pemberian teguran jika

kinerjanya tidak sesuai kesepakatan

yang terdapat di dalam kontrak

b. Dibutuhkan adanya penambahan

klausula mengenai audit vendor

secara rutin untuk memastikan

kualitas layanan

Contract Renewal orTermination

Tidak ada


114


b. SOP Capacity Management (Lampiran 3)

Melakukan penambahan kebijakan pelaksanaan pengukuran

kapasitas pada saat dilakukan implementasi sistem baru atau

enhancement sistem eksisting. Hal ini mengacu pada proses

capacity management yang terdapat di ITIL.Tabel 5.25 Capacity Management


Business CapacityManagement

Tidak ada

Service CapacityManagement

Dibutuhkan adanya pengukuran

kapasitas pada saat dilakukannya

implementasi sistem baru untuk selalu

menjaga ketersediaan dan performance

sistem

Component CapacityManagement

Tidak ada

Capacity ManagementReporting

Tidak ada

c. SOP Incident Management (Lampiran 4 & 5)

Melakukan penambahan kebijakan mengenai batasan waktu

untuk aktivasi DRC ketika terjadi gangguan pada severity 1.

Hal ini mengacu pada proses incident management yang

terdapat di ITIL.

Membuat tingkatan saverity dan pembangian waktu untuk

problem solving dari suatu gangguan.Tabel 5.26 Incident Management


IncidentManagementSupport

Tidak ada


115


Tabel 5.26 Incident Management (lanjutan)Sub Proses Rencana Perbaikan

Incident Logging andCategorization

Pada saat melakukan kategorisasi, harus

dilihat urgency dari incident tersebut,

hal ini terkait system readiness yang

harus dijaga untuk mendukung sistem

perdagangan.

Immediate IncidentResolution by 1st LevelSupport

Tidak ada

Incident Resolution by2nd Level Support

Tidak ada

Handling of MajorIncidents

Dibutuhkan adanya batasan waktu

dalam mencari solusi dan ketentuan

mengenai aktivasi DRC sesuai dengan

kebutuhan bisnis.

Incident Monitoringand Escalation

Tidak ada

Incident Closure andEvaluation

Tidak ada

Pro-Active UserInformation

Tidak ada

Incident ManagementReporting

Tidak ada

d. SOP Backup Rutin (Lampiran 6 & 7)

Melakukan penambahan kebijakan mengenai pelaporan hasil

backup akan dikirimkan kepada seluruh Kepala Divisi user

setelah mendapatkan persetujuan dari Kepala Divisi OTI.

Melakukan update form pelaporan hasil backup.

2. Melakukan update job description untuk staff yang telah ditunjuk

menjadi staff IT governance pada masing-masing Unit, yaitu:

a. Ibu Henny Susanti: Memastikan penerepan prosedur di unit SM

dapat berjalan dengan baik dan melaporkan hasilnya secara rutin

kepada Kepala Unit SM.


116


b. Bapak Adita Qintara: Memastikan penerepan prosedur di unit ITB

dapat berjalan dengan baik dan melaporkan hasilnya secara rutin

kepada Kepala Unit ITB.

c. Bapak Anindita Saktiaji: Memastikan penerepan prosedur di unit

ITO dapat berjalan dengan baik dan melaporkan hasilnya secara

rutin kepada Kepala Unit ITO.

d. Ibu Elsierra Putri Yosita: Memastikan penerepan prosedur di unit

NTS dapat berjalan dengan baik dan melaporkan hasilnya secara

rutin kepada Kepala Unit NTS.

3. Melakukan penambahan KPI untuk tahun 2013.

a. KPI untuk pengukuran kapasitas ditambahkan pada KPI Unit ITO

dan ITB, yaitu target kapasitas dari suatu sistem tidak boleh

melebihi 80% dari total kapasitas sistem.

b. KPI untuk pengkuran keamanan informasi ditambahkan pada KPI

unit NTS, yaitu target tidak terdapat temuan major pada saat

dilakukan pengujian kemanan.

c. KPI untuk pengukuran training kepada user ditambahkan pada

KPI unit SM, yaitu target dalam 1 tahun minimal dilakukan

pelatihan sebanyak 2 kali.



6 BAB VI

KESIMPULAN DAN SARAN

6.1 KesimpulanKesimpulan yang dapat diambil dari penelitian ini adalah sebagai berikut:

1. Tingkat kemapanan (maturity level) tata kelola TI untuk domain DS

pada PT BEI menurut cobit 4.1 adalah 3.5

2. Mengidentifikasi prosedur yang perlu disempurnakan mengacu pada

tingkat kemapanan Cobit dan ITIL versi 3.

a. SOP Pemeliharaan dan Evaluasi Sistem, dengan menambahkan

mekanisme teguran dan kebijakan audit vendor.

b. SOP Capacity Management, dengan menambahkan kegiatan

pengukuran kapasitas pada saat dilakukan implementasi sistem

baru ataupun pengembangan sistem.

c. SOP Incident Management, dengan menambahkan mekanisme

aktivasi DRC.

d. Pembuatan prosedur IT Chargeback, dengan pembuatan prosedur

baru dan metode untuk mengukur suatu investasi.

e. Update pada form laporan backup, dengan melakukan perubahan

form laporan hasil backup.

3. Rekomendasi untuk peningkatan nilai kemapanan pada domain DS

antara lain:Tabel 6.1 Usulan Rekomendasi


Awareness and

Communication

Melakukan penambahan ataupun

pengembangan tools untuk meningkatkan

awareness and communication dengan pihak-

pihak terkait


118


Tabel 6.1 Usulan Rekomendasi (lanjutan)


Policies, Plans

and Procedures

1. Melakukan update dokumen SOP

2. Melakukan penunjukan staff yang

bertanggung jawab pada pelaksanaan IT

Governance pada masing-masing unit kerja

3. Melakukan otomasi proses SOP yang

masih manual dengan melakukan

pengembangan tools.

Tools and

Automation

Melakukan pengembangan tools untuk

meningkatkan kinerja operasional

Skills and

Expertise

Menyelenggarakan pelatihan yang bersertifikasi

untuk meningkatkan kemampuan personil TI,

khususnya di Divisi Operasi TI.

Responsibility and

Accountability

Menambahkan KPI untuk proses-proses yang

saat ini masih belum ditentukan measurement-

nya serta menunjuk PIC yang bertanggung

jawab untuk KPI tersebut.

Goal Setting and

Measurement

Menambahkan KPI untuk proses-proses yang

saat ini masih belum ditentukan measurement-

nya serta menunjuk PIC yang bertanggung

jawab untuk KPI tersebut.

4. Program yang dibuat dalam 2 bulan antara lain:

a. Melakukan update SOP

1. SOP Pemeliharaan dan Evaluasi Sistem

2. SOP Capacity Management

3. SOP Incident Management

4. SOP Backup Rutin


119


b. Melakukan update job description untuk staff yang telah ditunjuk

menjadi staff IT governance pada masing-masing Unit, yaitu:

1. Unit SM:Ibu Henny Susanti

2. Unit ITB: Bapak Adita Qintara

3. Unit ITO: Bapak Anindita Saktiaji

4. Unit NTS: Ibu Elsierra Putri Yosita

c. Melakukan penambahan KPI untuk tahun 2013.

1. KPI untuk pengukuran kapasitas ditambahkan pada KPI Unit

ITO dan ITB, yaitu target kapasitas dari suatu sistem tidak

boleh melebihi 80% dari total kapasitas.

2. KPI untuk pengkuran keamanan informasi ditambahkan pada

KPI unit NTS, yaitu target tidak terdapat temuan major pada

saat dilakukan pengujian kemanan.

3. KPI untuk pengukuran training kepada user ditambahkan pada

KPI unit SM, yaitu target dalam 1 tahun minimal dilakukan

pelatihan sebanyak 2 kali.

6.2 SaranSaran yang dapat diberikan dari penelitian ini adalah sebagai berikut:

1. Penelitian tingkat kemapanan (maturity level) tata kelola TI untuk

pada PT BEI dapat dikembangkan untuk mengukur tinggkat

kemapanan pada domain yang lain, yaitu domain PO, domain AI dan

domain ME. Dalam melakukan assessment dibutuhkan adanya

koordinasi dengan pihak-pihak yang terkait dan dibutuhkan evidance

yang jelas mengenai penerapan suatu prosedur, tools yang digunakan,

sertifikasi personil TI, pembagian kerja berdasarkan job description

dan key performance indicator (KPI) dari setiap Divisi. Adapun

pihak-pihak yang terlibat adalah

a. Domain PO adalah Divisi Pengembangan Solusi Teknologi

Informasi khususnya unit Quality Assurance, Divisi Operasi


120


Teknologi Informasi khususnya unit Sistem Manajemen dan

Divisi Manajemen Risiko.

b. Domain AI adalah Divisi Pengembangan Solusi Teknologi

Informasi khususnya unit Quality Assurance dan Divisi Operasi

Teknologi Informasi khususnya unit Sistem Manajemen

c. Domain ME adalah Divisi Operasi Teknologi Informasi

khususnya unit Sistem Manajemen dan Divisi Manajemen Risiko.

2. Membuat strategi change management untuk implementasi tools baru

yang direkomendasikan dari karya akhir ini seperti implementasi

aplikasi knowledge management yang akan diterapkan kepada seluruh

Divisi di PT BEI.



7 Referensi

1. Applegate, Lynda M, dkk. Corporate Information Strategy and

Management. New York: McGraw-Hill Education. International Edition,

8th Edition. 2009

2. Van Grembergen, ‘Strategies for information technology governance: An

interview with Wim Van Grembergen’, in Information Management; 17,

1/2, Spring 2004.

3. Peterson, Ryan, ‘Configurations and coordination for global information

technology governance: Complex designs in a transnational European

context’ in Proceedings of the 34th Hawaii International Conference on

System Sciences, 2001

4. Weill, P. and J. Ross, IT governance: How top performers manage it

decision rights for superior results, Harvard Business School Press,

Boston, 2004.

5. Luftman, Jerry N., Paul R Lewis and Scott H Oldach, ‘Transforming the

enterprise: The alignment of business and information technology’ in IBM

Systems Journal; Vol. 32, No. 1, 1993

6. Standards Australia dan Standards New Zealand, (2004). “Risk

Management”. Sydney.

7. Stoneburner, at all. (2002). “Risk Management Guide for IT System”.

Gaithersburg: National Institute of Standards and Technology.

8. IT Governance Institute (2007). Control Objectives for Information and

related Technology (COBIT) 4.1. ISACA Journal 1-190.

9. ITGI, (2003). ‘Board briefing in IT governance, 2nd edition’, IT

Governance Institute, available at http://www.itgi.org.

10. ITGI, IT Governance and Process Maturity, ITGI, 2008.

11. COBIT Control Practices: Guidance to Achieve Control Objectives for

Successful IT Governance, 2nd Edition, 2007.

12. Sasongko, Nanang, 2009, Pengukuran Kinerja Teknologi Informasi

Menggunakan Framework COBIT Versi. 4.1, Pada Pt.Bank X Tbk. di


122


Bandung (Seminar Nasional Aplikasi Teknologi Informasi 2009 (SNATI

2009) ISSN: 1907-5022 Yogyakarta, 20 Juni 2009)

13. Tanuwijaya, Haryanto and Sarno, Riyanarto, 2010, Comparation of

COBIT Maturity Model and Structural Equation Model for Measuring the

Alignment between University Academic Regulations and Information

Technology Goals, IJCSNS International Journal of Computer Science and

Network Security, VOL.80 10 No.6, June 2010


123


8 Lampiran 1 Wawancara

Wawancara I

Hari/Tanggal : Selasa, 4 Desember 2012

Tempat : Ruang Kepala Divisi Operasi TI

Peserta : Kepala unit dan perwakilan staff Divisi OTI

Tujuan : Untuk mengetahui kondisi eksisting penerapan SOP

Pada saat menurut Bapak/Ibu sekalian, secara garis besar bagaimana

penerapan prosedur di PT BEI, khususnya di Divisi OTI?

Pada saat ini penerapan prosedur di Divisi OTI sudah berjalan dengan baik,

jika terdapat beberapa kekurangan lebih kepada penerapannya yang kurang

konsisten

Pada saat ini terdapat berapa prosedur di Divisi OTI?

Pada saat ini terdapat sekitar 25 SOP yang berlaku.

Prosedur apa saja yang terdapat di unit ITO?

Prosedur yang berlaku di unit ITO adalah: SOP backup, SOP penanganan

incident, SOP monitoring, SOP akses ruang server, SOP manajemen

pelayanan dan SOP manajemen user account.

Apakah terdapat kendala/masalah dalam pelaksanaan SOP?

Dalam pelaksanaan SOP, kendala yang dihadapi adalah masalah reporting

yang kurang konsisten. Pada saat ini untuk operasional cukup terbantu dengan

adanya tools backup dan tool monitoring.

Prosedur apa saja yang terdapat di unit ITB?

Terdapat beberapa prosedur yang hamper sama dengan ITO, perbedaannya

adalah SOP startup sistem karena sistem perdagangan harus di start setiap hari

bursa. Sedangkan sistem perkantoran dibiarkan hidup dan hanya direstart atau

dimatikan jika dilakukan pemeliharaan atau ada kebutuhan khusus.



124


Hampir sama dengan kendala yang dihadapi oleh unit ITO, kendala yang

dihadapi adalah masalah konsistensi, terutama untuk akses ruang server.

Prosedur apa saja yang terdapat di unit SM?

Prosedur yang berlaku di unit SM adalah: SOP permintaan layanan, SOP

persediaan perangkat dan lisensi, SOP konfigurasi, SOP kapasitas, dan SOP

change management


Kendala yang ditemui terutama mengenai belum adanya tools untuk

membantu mengelola konfigurasi dan persediaan perangkat serta lisensi

Prosedur apa saja yang terdapat di unit NTS?

SOP yang berlaku di unit NTS adalah SOP pemeliharaan sistem, SOP

penanganan masalah, dan SOP update patch.


Adanya kendala yang ditemui dilingkungan kerja adalah koordinasi dengan

vendor terutama mengenai penanganan masalah, perlu ditingkatkan awareness

dan perlu juga diberikan teguran jika melakukan pelanggaran atau kinerjanya

dianggap kurang baik.


125


Wawancara II

Hari/Tanggal : Jumat, 21 Desember 2012

Tempat : Ruang Meeting 6B

Peserta : Kepala Divisi OTI dan Kepala unit

Tujuan : Penyampaian hasil rekomendasi dan validasi hasil

rekomendasi

Berikut ini akan disampaikan beberapa rekomendasi yang dibuat

berdasarkan hasil assessment nilai maturity cobit untuk 13 proses pada

domain DS. Rekomendasi disusun berdasarkan maturity attribute yaitu:

awareness & communication, policies, plan & procedures, tools & automation,

skills&expertise, respondsibility & accountability dan goal setting &

measurements.

1. Mengenai rekomendasi peningkatan awareness & communication,

perusahaan diusulkan untuk membuat tools untuk meningkatkan

komunikasi dengan pihak internal maupun eksternal, bisa dibuat forum

seperti kaskus. Bagaimana tanggapan dari Bapak-Bapak sekalian?

Mengenai forum komunikasi saat ini, pada saat ini sebenarnya untuk tiap

proyek sudah dibuatkan milis proyek untuk meningkatkan komunikasi.

Namun untuk sarana komunikasi yang lebih resmi memang belum tersedia.

Salah satu usulannya mungkin bisa ditambahkan pada forum SDM yang

terdapat pada aplikasi HRIS. Nanti mengenai pembagian hak akses akan

dibicarakan dengan Divisi SDM dan vendor pembuat aplikasi. Karena

risikonya juga tidak terlalu tinggi, pada pertengahan tahun depan

kemungkinan bisa dikerjakan sedangkan pada awal tahun depan bisa dimulai

untuk diskusi mengenai mekanisme penyesuaian di aplikasinya.

2. Mengenai rekomendasi peningkatan policies, plan & procedures,

perusahaan diusulkan untuk melakukan update beberapa SOP,

melakukan penunjukan staff IT governance dan menyediakan tools untuk


126


membantu pelaksanaan SOP. Bagaimana tanggapan dari Bapak-Bapak

sekalian?

a. Mengenai update SOP, terutama yang terkait penanganan insiden dan

keterkaitannya dengan aktivasi DRC harus cepat dilakukan karena

risikonya tinggi jika masih ada yang kurang clear. Mengenai prosedur

yang lain juga harus cepat dikerjakan, untuk mencegah terjadinya

kesalahan operasional, diharapkan pada awal tahun sudah tersedia SOP

yang baru.

Khusus mengenai usulan penerapan IT chargeback, secara garis besar

menyetujui usulan tersebut, namun untuk penerapannya harus

berkoordinasi dengan direktorat yang lain dan Divisi keuangan. Pada saat

ini bisa dimulai untuk melakukan identifikasi layanan apa yang perlu

untuk di charge dan disusun tarif yang sesuai serta melakukan studi

banding penerapan IT chargeback di perusahaan lain. Untuk hal ini

mengingat tingkat kesulitan dan risikonya tidak terlalu tinggi, mungkin

setelah pertengahan tahun sekaligus penyusunan RKAT dapat ditargetkan

untuk live.

b. Mengenai adanya usulan penunjukan staff IT governance sehingga lebih

accountable, usulan tersebut bisa diterima nantinya akan ditunjuk PIC

dari masing-masing unit, diharapkan yang mempunyai pengetahuan

mengenai tata kelola dan orang yang taat akan SOP. Kalau bisa dari staff

eksisting sehingga tidak perlu lama menunggu rekrutmen karyawan baru,

namun jika kurang personil nanti parallel bisa dilakukan penambahan

karyawan. Walaupun risikonya tidak terlalu tinggi, tapi hal ini tidak

kompleks sehingga diharapkan pada awal tahun sudah dapat ditunjuk

PIC-nya.

c. Tools untuk membantu pengelolaan konfigurasi (CMDB) saat ini sudah

dikembangkan, diharapkan pada kuartal pertama tahun depan sudah dapat

mulai dipergunakan.


127


3. Mengenai rekomendasi peningkatan tools & automation, perusahaan

diusulkan menyediakan tools untuk membantu pelaksanaan operasional.

Bagaimana tanggapan dari Bapak-Bapak sekalian?

a. Menyetujui usulan untuk penyediaan aplikasi yang terhubung dengan

vendor, mungkin bisa dilakukan dengan membuka akses aplikasi service

desk ke pihak ketiga (vendor). Untuk melakukan hal ini perlu dilakukan

kajian keamanannya. Target pertengahan tahun karena menunggu hasil

kajian dan risikonya juga tidak terlalu tinggi.

b. Menyetujui usulan untuk melakukan pengadaan tools knowledge

management, akan tetapi pengadaan baru bisa dilakukan pada tahun 2014

terkait dengan penyusunan anggaran dan dokumen IT Master Plan.

Sehingga untuk proses ini kayaknya tidak bisa mencapai nilai 4 pada

tahun 2013.

c. Untuk tools CMDB, sama seperti jawaban di atas.

4. Mengenai rekomendasi peningkatan skills & ekspertise, perusahaan

diusulkan untuk menyelenggarakan pelatihan bersertifikasi. Bagaimana

tanggapan dari Bapak-Bapak sekalian ?

a. Menyetujui dilaksanakannya pelatihan, hanya saja terdapat batasan dalam

1 tahun maksimal 20% dari jumlah karyawan dari Divisi yang dapat

mengambil pelatihan bersertifikasi (4 orang).

b. Pemilihan unit untuk mengikuti pelatihan disesuaikan dengan job

description dari unit tersebut dan disesuaikan dengan target pencapaian

tingkat maturity pada tahun 2013 untuk 75% proses di domain DS

mencapai level 4.

c. Dalam hal ini karena untuk penyediaan aplikasi knowledge management

baru bisa dilakukan pada tahun 2014 maka pelatihan yang terkait dengan

proses tersebut juga akan ditunda sampai tahun 2014 yaitu proses ensure

continuous service dan educate & train users.


128


d. Untuk pelatihan yang lain, diharapkan dapat dilakukan awal tahun 2013

mengingat manfaat, tingkat kesulitannya juga tidak besar serta tingkat

risikonya.

5. Mengenai rekomendasi peningkatan respondsibility & accountability dan

goal setting & measurements, perusahaan diusulkan untuk menetapkan

beberapa tambahan KPI. Bagaimana tanggapan dari Bapak-Bapak

sekalian ?

Menyetujui usulan penambahan KPI, dapat mulai ditambahkan pada KPI

tahun 2013 yang akan disusun di bulan Januari 2013. Pembagian KPI akan

disesuaikan job description pada masing-masing unit kerja.

a. Pengelolaan kapasitas untuk unit ITO & ITB. (DS3RA)

b. Pengelolaan keamanan informasi untuk unit NTS. (DS5RA)

c. Pemberian pelatihan kepada user untuk unit SM. (DS7RA)


129


9 Lampiran 2 Penyesuaian SOP Pemeliharaan Sistem

Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan dan

uraian prosedur (diberi warna abu-abu). Detil dari prosedur yang telah disesuaikan

adalah sebagai berikut:

1. KEBIJAKAN

1.1. Pemeliharaan perangkat dan sistem TI mengacu pada perjanjian/kontrak yang disepakati kedua

belah pihak (PT BEI dan vendor) dengan berpedoman pada SLA sistem terkait ISO yang telah

ditetapkan PT BEI sebgai contoh:

o Pemeliharaan infrastruktur perdagangan, aplikasi network monitoring remote trading

dilakukan 4 kali dalam 1 tahun;

o Pemeliharaan aplikasi remote trading dilakukan 12 kali dalam 1 tahun;

o Pemeliharaan aplikasi sistem perkantoran dilakukan 12 kali dalam 1 tahun

o Pemeliharaan server-server dan sistem office dilakukan 4 kali dalam 1 tahun

1.2. Ruang lingkup pekerjaan pemeliharaan internal BEI sebagai berikut:

1. Aplikasi dan database oleh VENDOR;

2. Operating System, Hardware dan Network oleh VENDOR.

1.3. Pelaksanaan pemeliharaan harus disetujui oleh KaDiv OTI dan/atau KaDiv User

1.4. Preventif:

Dilakukan analisa terhadap checklist kegiatan maintenance yang akan dilakukan oleh vendor.

1.5. Korektif:

Membuat incident request jika terjadi temuan selama atau setelah maintenance sehingga bisa

dilakukan perbaikan.

1.6. Non-conformities:

Perangkat yang mengalami gangguan akan diservice, jika tidak bisa diperbaiki akan diganti

dengan perangkat baru dengan pengajuan service request oleh Kanit Operasional terkait.

1.7. Evaluasi:

Dilakukan analisa dan evaluasi pelaksanaan prosedur pemeliharaan perangkat setiap 6 bulan

dengan membuat laporan evaluasi dan tindak lanjut kedepan.

1.8. Pengelola sistem yang dipelihara OTI

Sistem dan Perangkat User

TCC:

MKBDT, DB-ANGT ANG


130


JATS,JATS-

RT,JOTS,BILLING_INFO,DATAFEED,SMARTS,FITS,

FATS,CTP,MOFIDs

PSH,PUD

HRIS SDM

Sistem Keuangan KEU

Sistem – sistem Office (Server, Workplace, Anti spam, Anti

Virus, Mail)

OTI

Alteon

E-Reporting PPJ, PPR

Website SPR

APNAB WAS

DRC:

MKBDD, DB-ANGD ANG

JATS, JATS-RT, JOTS, BILLING_INFO,DATAFEED,

SMARTS

PSH,PUD

HRIS SDM

Sistem Keuangan KEU

Sistem – sistem Office (Server, Workplace) OTI

1.9. A. Penjelasan Kriteria Penilaian Maintanance yang bersifat mandatory:

1. Waktu Maintanance

Pada kriteria ini dapat dikatakan sesuai, jika waktu pelaksanaan maintenance dan

pemberitahuan pelaksanaan maintanance sesuai dengan perjanjian kontrak pemeliharaan

antara perusahaan yang terkait dengan PT BURSA EFEK INDONESIA.

Pada kriteria ini dikatakan tidak sesuai, jika waktu jika waktu pelaksanaan

maintenance atau pemberitahuan pelaksanaan maintanance tidak sesuai dengan perjanjian

kontrak pemeliharaan antara perusahaan yang terkait dengan PT BURSA EFEK

INDONESIA.

2. Prosedur Maintanance

Pada kriteria ini dapat dikatakan sesuai checklist, jika prosedur pelaksanaan

maintenance sesuai dengan dokumen checklist maintanance yang dibuat oleh vendor dan

sudah direview serta disetujui oleh pihak PT BURSA EFEK INDONESIA.

Pada kriteria ini dapat dikatakan tidak sesuai checklist, jika prosedur pelaksanaan

maintenance tidak sesuai dengan dokumen checklist maintanance yang dibuat oleh vendor dan

sudah direview serta disetujui oleh pihak PT BURSA EFEK INDONESIA.

3. Rekomendasi Maintanance


131


Pada kriteria ini dapat dikatakan sesuai jika pada saat maintenance, pihak vendor memberikan

rekomendasi yang perlu dilakukan untuk mencegah munculnya problem sampai maintenance

berikutnya dilakukan.

Pada kriteria ini dikatakan tidak sesuai jika pada saat maintenance, pihak vendor tidak

memberikan rekomendasi yang perlu dilakukan akan tetapi muncul problem setelah

maintenance tersebut selesai dilakukan.

Oleh karena itu, pemberian penilaian rekomendasi maintenance ini baru akan dilakukan pada 2

minggu sesudah maintenance atau saat maintenance berikutnya akan dilakukan. Hal ini

dilakukan untuk melihat kemungkinan adanya problem yang muncul akibat kelalaian vendor

memberikan rekomendasi.

B. Penjelasan Kriteria Penilaian Problem Solving yang bersifat mandatory:

1. Waktu Problem Solving

Pada kriteria ini dapat dikatakan sesuai SLA kontrak, jika waktu problem solving

sesuai dengan SLA yang terdapat pada perjanjian kontrak pemeliharaan antara perusahaan

yang terkait dengan PT BURSA EFEK INDONESIA.

Pada kriteria ini dikatakan tidak sesuai SLA kontrak, jika waktu problem solving

tidak sesuai dengan SLA yang terdapat pada perjanjian kontrak pemeliharaan antara

perusahaan yang terkait dengan PT BURSA EFEK INDONESIA.

2. Hasil Problem Solving

Pada kriteria ini dapat dikatakan Operational Sistem Normal, jika hasil problem

solving tersebut bisa membuat operasional sistem berjalan normal sesuai dengan keadaan

semula.

Pada kriteria ini dikatakan Operational Sistem Tidak Normal, , jika hasil problem

solving tersebut tidak bisa membuat operasional sistem berjalan normal sesuai dengan keadaan

semula.

Berikut ini merupakan bobot untuk maintanance dan problem solving.

Maintanance : 55%

Problem Solving : 45%

Bila selama maintenance tidak terdapat problem yang terjadi maka bobot untuk maintenance

sebagai berikut:

Maintanance : 100%

Problem Solving : 0%

Berikut ini merupakan sistem scoring yang akan digunakan untuk masing-masing kriteria baik


132


maintanance maupun problem solving. Pada form evaluasi vendor, scoring ini dimasukkan

pada bagian catatan :

Tabel 9.1. Sistem score

Score Level

0 =< X <=1 Tidak Sesuai

2 =< X <=3 Sesuai

Measurement :

0 : Jika kesalahan tersebut tidak bisa ditolerir, misalnya sampai mengganggu aktivitas bisnis

1 : Jika kesalahan tersebut masih dalam batas kewajaran, tidak sampai menggangu aktivitas

bisnis

2 : Sesuai dengan kontrak

3 : Sesuai penilaian ITO/ITB/NTS kegiatan pemeliharaan melebihi apa yang ada dalam

kontrak

Pengambilan Keputusan.

Berikut ini merupakan kategori hasil evaluasi dari vendor, sesuai dengan hasil perhitungan

proses scoring. Pada pengambilan keputusan ini menggunakan tingkat service level mencapai

98% (SLA bisnis 97,5%) :

Tabel 9.2. Kategori hasil evaluasi

Kategori Nilai hasil evaluasi Keterangan

Baik >= 0.98 Diperpanjang

Buruk < 0.98 Tender Ulang

Unit SM akan melakukan summary dari dokumen evaluasi rekanan yang telah dibuat dengan

format sebagai berikut:


133


Untuk selanjutnya akan dijadikan dasar (dilampirkan) pada form Service Request

1.10. PT BEI berhak memberikan teguran terhadap vendor jika hasil evaluasi kinerja vendor tidak

sesuai dengan SLA yang telah dijanjikan. Kesalahan dari vendor yang layak diberikan teguran

adalah

1. Melewati SLA untuk problem solving, baik respond time, onsite maupun resolution time

2. Lupa dalam memberikan rekomendasi perbaikan

3. Tidak melakukan kegiatan preventive maintenance sesuai dengan scope pekerjaan.

Pemberian teguran dilakukan dengan mengirimkan surat teguran kepada vendor sesuai dengan

kesalahan yang telah dibuat.

1.11. Melakukan audit secara rutin terhadap vendor yang menyediakan layanan kepada PT BEI

seperti vendor penyedia jaringan untuk kegiatan perdagangan saham.

2. URAIAN PROSEDUR :

No Nama Pelaksana/Uraian Dokumen

KaUnit OPR OFF/OPR BIS/User

1. Mengajukan kegiatan pemeliharaan beserta analisa estimasi dampak

kegiatan pemeliharaan untuk diberikan kepada KaDiv OTI dan/atau

KaDiv User;

Log Jadwal

Pemeliharaan

Perangkat dan

sistem TCC

FORM-OTI-018-01

KaDiv dan KaUnit User

2. Review dampak kegiatan pemeliharaan; FORM-OTI-018-01

3. Menyetujui kegiatan pemeliharaan; FORM-OTI-018-01

KaDiv OTI

4. Review dampak kegiatan pemeliharaan; FORM-OTI-018-01

5. Menyetujui kegiatan pemeliharaan dan melaporkan kepada Direktur FORM-OTI-018-01


134


TI;

KaDiv OTI

6. Disposisi kepada Unit NTS untuk pelaksanaan kegiatan

pemeliharaan;

FORM-OTI-018-01

KaUnit NTS

7. Disposisi kepada Staf Unit NTS untuk pelaksanaan kegiatan

pemeliharaan;

FORM-OTI-018-01

Staf NTS

8. Melakukan pemeliharaan perangkat dan sistem TI dengan jadwal

pelaksanaan mengacu kepada jadwal yang tertera di Form

Pemeliharaan Perangkat dan sistem OTI dan sesuai dengan ruang

lingkup pekerjaan;

FORM-OTI-018-01

9. Memastikan bahwa perangkat dan sistem TI dapat beroperasi

sebagaimana mestinya;

FORM-OTI-018-01

10. Jika pemeliharaan selesai dilakukan, lengkapi Form Evaluasi

Pemeliharaan Perangkat dan sistem OTI;

FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

11. Memberikan rekomendasi untuk pemberian teguran jika terdapat

kesalahan yang dilakukan oleh vendor serta membuat draft surat

teguran;

FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

Surat Teguran

12. Melaporkan hasil pemeliharaan kepada KaUnit NTS FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

Surat Teguran

KaUnit NTS

13. Review hasil kegiatan pemeliharaan serta mereview hasil

rekomendasi pemberian teguran yang diusulkan oleh staff unit NTS;

FORM-OTI-018-01

FORM-OTI-018-

02


135


FORM-OTI-018-03

FORM-OTI-018-04

Surat Teguran

14. Memberikan hasil pemeliharaan kepada KaUnit OPR OFF/OPR

BIS/User;

FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

Surat Teguran

KaUnit OPR OFF/OPR BIS/User



FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

Surat Teguran

16. Melaporkan hasil pemeliharaan kepada KaDiv OTI FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

Surat Teguran

KaDiv OTI



FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

Surat Teguran

18. Jika pengajuan pemeliharaan dilakukan oleh User, maka KaDiv OTI

memberikan Formulir Pemeliharaan Perangkat dan sistem OTI

kepada KaDiv User untuk ditandatangani (lanjut ke butir 28);

FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

19. Memberikan paraf formulir kinerja vendor. Sedangkan tenda tangan

formulir kinerja vendor baru akan dilakukan jika penilaian

FORM-OTI-018-01

FORM-OTI-018-


136


rekomendasi maintanance sudah dilakukan. 02

FORM-OTI-018-03

FORM-OTI-018-04

20. Memberikan persetujuan pada surat teguran jika vendor memang

terbukti bersalah.

FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

Surat Teguran

21. Jika pengajuan pemeliharaan dilakukan oleh KaUnit OPR OFF/OPR

BIS, maka Formulir Pemeliharaan Perangkat, formulir evaluasi

kinerja vendor dan sistem OTI dikembalikan kepada KaUnit OPR

OFF/OPR BIS

FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

KaDiv dan KaUnit User

22. Review hasil kegiatan pemeliharaan; FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04

23. Mengembalikan Formulir Pemeliharaan Perangkat, formulis evaluasi

kinerja vendor dan sistem OTI kepada Divisi OTI

FORM-OTI-018-01

FORM-OTI-018-

02

FORM-OTI-018-03

FORM-OTI-018-04


137


10 Lampiran 3 Penyesuaian SOP Capacity Management

Penyesuaian SOP yang dilakukan terdapat pada bagian kebijakan (diberi

warna abu-abu). Detil dari prosedur yang telah disesuaikan adalah sebagai berikut:

KEBIJAKAN

1. Kegiatan pengukuran kapasitas dan performance asset TI dilakukan secara rutin 3 bulansekali untuk sistem: JATS, JATS-RT, Datafeed-MDDS, SMARTS, Workplace, MKBD,Domain Controller, DBANG, APNAB, DBWAS, Exchange dan IDXNET.

2. Periode pengukuran adalah 3 bulan dan setelah data terkumpul selama 1 tahun (4 periodebaru akan dilakukan forecasting).

3. Pengukuran kapasitas dilakukan berdasarkan data dari tool monitoring. Data yangdigunakan untuk pengukuran adalah data yang tertinggi dan trend yang didapat dari toolmonitoring baik di area bisnis maupun office.

4. Pengukuran kapasitas juga dilakukan pada saat dilakukan implementasi sistem baru danketika dilakukan enhancement atau update versi pada sistem eksisting.

5. Kegiatan pengukuran juga dapat dilakukan ketika dibutuhkan, yaitu pada saat akandiimplementasikan sistem baru, adanya upgrade, atau versi baru, untuk melihat trend dankemungkinan kapasitas dalam beberapa waktu ke depan.

6. Berdasarkan hasil data pengukuran kapasitas, jika kondisi exsisting sudah mencapai 60%(treshold) diperlukan adanya suatu assessment dan tindaklanjut, mulai dari perbaikan,penambahan sampai penggantian asset TI tersebut

7. Berdasarkan data yang didapatkan akan dilakukan forecast kapasitas dan performanceasset TI untuk jangka waktu 1 tahun kedepan. Metode peramalan yang akan digunakanakan dipilih berdasarkan tipe datanya, adapun metode yang akan dipakai adalah sebagaiberikut:

1. Regression untuk data yang mempunyai trend2. Moving Average untuk data yang mempunyai tipikal mendekati suatu nilai

(nilai rata-rata).8. Preventif

Adanya data hasil monitoring sistem perkantoran dan perdagangan.9. Korektif

Melakukan update data pada form rekapitulasi kapasitas.10. Nonconformities

Dokumen yang dihasilkan akan di-destroy.11. Evaluasi

Dilakukan analisa dan evaluasi pelaksanaan prosedur capacity planning setiap 6 bulandengan membuat laporan evaluasi dan tindak lanjut kedepan.


138


11 Lampiran 4 Penyesuaian SOP Incident Management




1. KEBIJAKAN1. Service desk dan Staf unit IT Office / IT Bisnis harus melakukan monitoring pencapaian

Operation Level (OL) dan Update status untuk setiap insiden yang terjadi.2. Semua insiden (termasuk insiden keamanan informasi) harus dicatat di sistem Service

desk, dimonitor, didokumentasikan dan dikomunikasikan kepada pihak-pihak terkait.3. Yang termasuk ke dalam insiden keamanan informasi adalah hal-hal sebagaimana

berikut, namun tidak terbatas kepada:a. Kebocoran informasi yang sifatnya sensitif/rahasia/terbatas. Hal ini dapat terjadi

jika informasi yang berada didalam perusahaan, tidak terklasifikasi dengan baikberdasarkan aspek kerahasiaannya, maka dapat berpotensi informasi rahasiadapat terbuka.

b. Insiden terkait server (fisik server, ruang server, dll). Hal ini dapat terjadi karenasempurnanya pengontrolan terhadap ruang server secara berkala yangmemungkinkan memicu gangguan terhadap server yang berdampak hilangnyadata master atau data back-up perusahaan.

c. Kerusakan atau kehilangan aset fisik bermuatan informasi (PC, Notebook,removable media, external harddisk, mobile devices) yang berpotensimenyebabkan hilangnya/tersebarnya informasi sensitif yang ada di dalamnya..

d. Insiden terkait serangan virus, malware, hacker, intruder, dan lain-lain, yangberpotensi menimbulkan gangguan terhadap availability maupun integrityinformasi digital.

4. Jika terjadi insiden keamanan informasi, maka harus dipastikan hal-hal berikut dilakukan:a. Dilakukan analisis dampak yang disebabkan oleh insiden keamanan informasi

tersebut, yang paling tidak mencakup jenis, valume serta kerugian baiaya yangdisebabkan oleh insiden tersebut.

b. Bukti-bukti pendukung terhadap insiden keamanan informasi harusdidokumentasikan.

5. Setiap bulannya Ka. Unit IT Office dan IT Bisnis harus melakukan review (trendanalysis) terhadap response time dan resolution time atas insiden yang terjadi danmelaporkan hasil analisanya ke Kadiv OTI serta melakukan improvement atas pelayananyang diberikan.

6. Knowledge Database harus selalu dimutakhirkan (update) atas insiden sesuai dengansolusi yang diberikan untuk mempercepat proses penanganan insiden .

7. Proses eskalasi penanganan insiden harus dilakukan dengan cepat sesuai denganOperation Level yang telah ditentukan.

8. Setiap insiden harus dicarikan temporary solution dalam Operation Level tertentu supayaoperasional dapat segera dilanjutkan, sebelum dicarikan penyebab masalahnya dan fixedsolution.

9. Pada saat melakukan penanganyan incident harus memperhatikan severity dari incidenttersebut, jika sudah memasuki severity 1 maka harus langsung berkoordinasi dengan unitBCM mengenai kemungkinan aktifasi DRC. Paling lambat pada pukul 08:30 sudah harusdiputuskan untuk aktivasi DRC karena untuk aktivasi DRC dan penyebaran informasikepada Anggota Bursa dibutuhkan waktu sekitar 30 menit


139


10. Insiden/Problem yang membutuhkan penggantian/pengadaan nantinya akan dilanjutkandengan pembuatan Service Request untuk persetujuan anggaran.

11. Insiden yang telah selesai dikerjakan akan diberikan notifikasi kepada user yangkemudian user berhak menentukan apakah insiden tersebut telah solve atau belum.

12. Insiden yang menurut user belum solve, insiden tersebut akan di re-open oleh servicedesk dan nantinya akan dilakukan perbaikan lagi oleh unit terkait.

13. Jika dalam 3 hari setelah notifikasi tidak terdapat tanggapan dari user, maka insidentersebut dianggap telah solve.

14. Form Trouble ticket akan digunakan apabila sistem service desk tidak dapat digunakan.15. Pemutakhiran data knowledge base dilakukan oleh ITO/ITB/NTS untuk insiden /problem

yang sering terjadi dan bisa dilakukan problem solving oleh end user.16. Preventif: Dilakukan analisa insiden report oleh service desk terkait laporan insiden

berdasarkan WI Analisa Service desk.17. Korektif: Membuka kembali insiden report yang perbaikannya belum sesuai tanpa

menghilangkan activities log (WI Re-Open Insiden Report). Kemudian dilakukan analisadan perbaikan ulang.

18. Non-conformities: Konfigurasi dikembalikan seperti keadaan semula.19. Evaluasi: Dilakukan analisa dan evaluasi pencapaian SLA penanganan insiden setiap 6

bulan berdasar pada report aplikasi service desk. Hasil akhir evaluasi berupa laporan danusulan perbaikan.

2. URAIAN PROSEDURNo Nama Pelaksana/Uraian Dokumen

User

1. Input request yang terjadi ke dalam sistem service desk (create

Ticket Number)

Catatan :

Sebelum create request ke dalam sistem service desk user

sebaiknya mencari solusi di Knowledge Database.

FORM-OTI-005-01

WI-OTI-005-01

FORM-OTI-005-01

2. Cari solusi dalam knowledge database :

Jika tidak ada solusi maka lakukan eskalasi ke 1st level

ITB / ITO

Jika ada solusi nya maka lakukan solusi untuk

penanganan insiden.

Knowledge DB

3. Jika solusi sudah dilakukan tapi insiden masih belum dapat

solve, maka create request untuk eskalasi ke 1st level ITB/ITO

WI-OTI-005-01

4. Jika solusi sudah dilakukan dan insiden solve , maka update

status Close Request.

WI-OTI-005-01

5. Create request dan update sistem service desk jika belum solve

Service desk

6. Terima request dari User dan analisa request : WI-OTI-001-01


140



Jika tidak masuk dalam scope OTI, maka reject dan

berikan alasannya.

Jika masuk dalam scope OTI, maka eskalasi request

menjadi insiden dan Monitoring status insiden.

7. Buat Laporan insiden

FORM-OTI-005-02

FORM-OTI-023-05

WI-OTI-005-02

8. Update status insiden WI-OTI-005-02

Unit IT Bisnis / IT Office

9. Proses Disposisi insiden ke ITO/ITB

10. Ka.Unit ITB / ITO, response / tanggapi laporan insiden dari

User dan assign PIC

FORM-OTI-005-01

WI-OTI-005-02

11. Staff ITB / ITO lakukan Investigasi dan Analisa atas insiden

yang terjadi.

FORM-OTI-005-01

WI-OTI-005-02

12. Laporkan ke ISEG apabila terindikasi adanya information

security incident.

FORM-OTI-005-04

13. Cari temporary solusi untuk insiden yang terjadi FORM-OTI-005-01

14. Jika sampai pukul 08:30 belum ditemukan temporary solution

maka akan dilakukan aktivasi DRC.

FORM-OTI-005-01

15 Lakukan penanganan insiden dengan melaksanakan temporary

solusi tersebut.

FORM-OTI-005-01

16. Cek apakah temporary solusi yang dilakukan sudah bisa

menyelesaikan insiden yang terjadi :

Jika belum dapat menyelesaikan insiden yang terjadi,

maka lakukan eskalasi dan penanganan masalah sesuai

dengan prosedur penanganan masalah.

Jika temporary solusi dapat menyelesaikan insiden

yang terjadi, maka update status insiden dan

knowledge database dalam sistem service desk

Mengisi form rekapitulasi incident untuk menentukan

tipe incident

FORM-OTI-005-01

FORM-OTI-005-03

17. Konfirmasi ke User bahwa insiden sudah resolve. FORM-OTI-005-01


141



Service desk

18.Konfirmasi ke User bahwa insiden sudah resolve.

FORM-OTI-005-01

User

19. Terima konfirmasi insiden sudah resolve dan update status

“close incident” dalam sistem service desk.

Sistem Service desk

Ka. Unit

20. Lakukan review terhadap laporan insiden yang terjadi setiap

bulan (Monthly) dan laporkan hasil review tersebut ke Ka. Div.

OTI

SOP-OTI-011

FORM-OTI-005-02

21. Selesai


142


12 Lampiran 5 Tingkat Saverity Incident

Penyesuaian penanganan waktu incident yang disesuaikan dengan tingkat

severity-nya. Detil dari prosedur yang telah disesuaikan adalah sebagai berikut:

Gambar 12.1 Tingkatan Saverity Incident

Dalam hal ini, jika terdapat gangguan terutama sistem perdagangan, jika

belum diketemukan solusinya sampai pukul 08:30 maka harus dilakukan aktivasi

DRC agar perdagangan tetap dapat dimulai tepat waktu pada pukul 09:10.


143


13 Lampiran 6 Penyesuaian SOP Backup Rutin




1.KEBIJAKAN

1. Full backup sistem dilakukan setiap hari menggunakan fitur dari storage dari TCC ke

DRC.

2. Staf ITO memastikan hasil backup telah dilakukan dengan baik dan direview oleh

Kepala Unit ITO

3. Laporan hasil backup secara rutin dilaporkan kepada Kepala Divisi OTI setiap 1 bulan

seklai dan selanjutnya disampaikan kepada user via email.

4. Preventif:

Memastikan persiapan backup telah dilakukan, hal ini dipastikan pada form backup

rutin.

5. Korektif:

Melakukan perulangan proses backup dengan menggunakan form backup rutin.

6. Non-conformities:

Melakukan penghapusan file backup yang incomplete/corrupt.

7. Evaluasi:

Dilakukan analisa dan evaluasi hasil backup rutin dengan melakukan restore hasil

backup dan untuk kemudian dilakukan pengujian aplikasi oleh user pada saat simulasi

DRC. Hal ini dilampiri dengan ND hasil simulasi DRC. Evaluasi prosedur akan

dilakukan setiap 6 bulan.

8. Target keberhasilan proses backup dan restore disebutkan pada dokumen KPI Divisi.

2.URAIAN PROSEDUR :


Kepala Unit IT Operasional

1. Ka Unit ITO menugaskan staf ITO untuk melakukan Backup

Rutin;

Staf ITO

2. Memastikan proses full backup melalui snapmirror dan FORM-OTI-002-01


144


snapvault ke DRC untuk semua aplikasi dan JSXDATA2

serta JSXDATA3.

3. Memastikan proses restore telah berhasil dilakukan dengan

baik;

FORM-OTI-002-01

4. Jika terjadi kegagalan dalam proses backup maka

jalankan/eksekusi ulang script scheduler backup. Jika hal ini

masih gagal, lakukan copy master data file (extension MDF)

untuk database kemudian lakukan proses attach database

dimaksud, atau copy manual directory tertentu ke lokasi

backup;

5. Jika masih terjadi kegagalan backup maka lakukan eskalasi

Penanganan Masalah 2nd Level TCC;

FORM-OTI-005-01

6. Menyampaikan hasil Backup kepada Ka Unit ITO setiap

hari;

7. Jika terjadi kegagalan dalam proses restore maka

jalankan/eksekusi ulang dengan lakukan copy master data

file (extension MDF) untuk database kemudian lakukan

proses attach database dimaksud, atau copy manual directory

tertentu ke lokasi produksi;

8. Jika masih terjadi kegagalan restore maka lakukan eskalasi

Penanganan Masalah 2nd Level TCC;

FORM-OTI-005-01

9. Membuat laporan backup setiap 1 bulan, selanjutnya

disampaikan kepada Kepala unit ITO dan Kepala Divisi OTI

FORM-OTI-002-01

KaUnit ITO

10. Memeriksa hasil Backup – restore. Jika terjadi kejanggalan

operasi, langsung ditindaklanjuti dengan langkah solusi yang

perlu dilakukan;

FORM-OTI-002-01

11. Menyampaikan laporan backup setiap bulan ke Kadiv OTI. FORM-OTI-002-01

Kadiv OTI

12. Melakukan review hasil backup dan memberikan

persetujuan jika laporan backup telah sesuai.

FORM-OTI-002-01

13. Menyampaikan laporan hasil backup kepada Kepala Divisi

dari pengguna sistem.

FORM-OTI-002-01


145


14 Lampiran 7 Penyesuaian Form Backup Rutin

Terdapat perubahan form pelaporan backup dengan menghapus kolom

persetujuan kepala Divisi Pengguna Sistem. Persetujuan cukup sampai Kepala

Divisi OTI dan selanjutnya akan dikirimkan via email kepada Kepala Divisi User.

1. Form lamaNo Nama Sistem / Proses Metode Backup Source Target Hasil

1. Persiapan backup

a. Koneksi TCC-DRC

b. Space storage

c. Proses hasil backup

2. System A Incremental

Pukul:

Full Backup

Pukul

3. System B Incremental

Pukul:

Full Backup

Pukul

4. Dst Incremental

Pukul:

Full Backup

Pukul

Diusulkan Oleh,

( )

Staf Operasional Perkantoran

Diperiksa Oleh,

( )

Ka Unit Operasional Perkantoran

Diketahui Oleh,

( )

Kepala Divisi OTI

Diketahui Oleh,

( )

Ka Unit /Staff Pengguna Sistem


146


2. Form baruNo Nama Sistem / Proses Metode Backup Source Target Hasil

1. Persiapan backup

a. Koneksi

TCC-

DRC

b. Space

storage

c. Proses hasil backup

2. System A Incremental

Pukul:

Full Backup

Pukul

3. System B Incremental

Pukul:

Full Backup

Pukul

4. Dst Incremental

Pukul:

Full Backup

Pukul

Diusulkan Oleh,

( )

Staf Operasional Perkantoran

Diperiksa Oleh,

( )

Ka Unit Operasional Perkantoran

Diketahui Oleh,

( )

Kepala Divisi OTI


UNIVERSITAS INDONESIA EVALUASI DAN ANALISIS …lib.ui.ac.id/file?file=digital/20330033-TA-Husnul...

Documents

Transcript of UNIVERSITAS INDONESIA EVALUASI DAN ANALISIS …lib.ui.ac.id/file?file=digital/20330033-TA-Husnul...