Anda di halaman 1dari 79

KUESIONER ANALISA TINGKAT KEMATANGAN TATA KELOLA TI

Kuesioner ini adalah bagian dari penelitian Audit Sistem Informasi yang sedang

dilaksanakannya, yang bertujuan untuk mendapatkan opini dan pendapat Bapak/Ibu

mengenai Penerapan Tata Kelola Teknologi Informasi dengan Menggunakan COBIT

Framework 4.0 (Studi Kasus pada PT. Sinar Mas Multifinance)

Kuesioner ini dikembangkan dari standard pengelolaan IT international COBIT

(Conrol Objectives for Information and Related Technology), dengan fokus domain

pada PO (Plan and Organise), AI (Acquire and Implement), DS (Delivery and

Support), dan ME (Monitor and Evaluate). Untuk itu mohon kiranya Bapak/Ibu dapat

memberikan pendapatnya akan pertanyaan – pertanyaan yang diberikan dalam

kuesioner ini.

Petunjuk Pengisian

Bacalah pernyataan kriteria dari tingkat kematangan dengan seksama, lalu

berikan centang () pada pilihan jawaban (Ya/Tidak) untuk setiap pertanyaan yang

diberikan.

Nama Responden :

Bagian :

Jabatan :

1
PO1 - Mendefinisikan Perencanaan Strategi TI

Manajemen proses Menetapkan rencana strategis TI dimana dalam memenuhi


kebutuhan bisnis TI mempertahankan atau memperluas strategi bisnis dan persyaratan
pemerintahan mengenai manfaat, biaya dan resiko menjadi transparan adalah:

Level No Pernyataan Ya Tidak

1 Perencanaan memakai TI tidak pernah dilakukan

2 Perusahaan tidak mampu menjalankan bahwa


perencanaan strategis TI diperlukan untuk
mendukung tujuan bisnis
0

Non-existent

1 3 Analisa awal akan perencanaan strategis TI


diketahui oleh manajemen TI atau perusahaan
Initial/Ad
Hoc

Perencanaan TI dilakukan sebagai respons atas


kebutuhan dasar terhadap kebutuhan bisnis yang
4 spesifik.

5 Perencanaan Strategis TI sesekali dibahas pada


rapat manajemen TI.

6 Penjajaran kebutuhan bisnis, aplikasi dan


teknologi terjadi dengan reaktif dibanding dengan
strategi perusahaan.

7 Posisi resiko strategis diidentifikasi secara tidak


formal dari proyek ke proyek.

2
Level No Pernyataan Ya Tidak

2 8 Perencanaan strategis TI terbagi dengan


manajemen bisnis sebagai dasar kebutuhan.
Repeatable
but Intuitive

9 Perencanaan TI diperbaharui jika ada response


permintaan dari manajemen.

10 Keputusan strategis didorong atas dasar proyek,


tanpa konsistensi dengan strategi organisasi secara
keseluruhan.

11 Resiko dan manfaat dari keputusan utama


strategis dikenali secara intuitif.

3 12 Ada sebuah kebijakan menetapkan kapan dan


bagaimana menjalankan perencanaan strategis TI.
Defined
Process

13 Perencanaan strategis TI diikuti dengan


pendekatan yang terstruktur dan
didokumentasikan serta diketahui oleh semua staf.

14 Proses perencanaan TI cukup wajar dan


memastikan bahwa perencanaan yang sesuai
kemungkinan akan dilakukan.

15 Kebijakan yang diberikan kepada masing-masing


manajer dalam melakukan proses implementasi
namun tidak ada prosedur untuk memeriksa
proses tersebut.

3
Level No Pernyataan Ya Tidak

16 Keseluruhan strategi TI termasuk ketentuan yang


konsisten mengenai risiko yang akan diambil oleh
organisasi sebagai inovator atau pengikut.

17 Keuangan TI, secara teknis dan strategi sumber


daya manusia semakin mempengaruhi akuisisi
produk dan teknologi baru.

18 Perencanaan strategis TI dibahas pada rapat


manajemen bisnis.

19 Perencanaan strategis TI merupakan standar


4 praktek dan pengecualian akan diperhatikan oleh
manajemen.
Managed and
Measurable

20 Perencanaan strategis TI ditetapkan sebagai fungsi


tanggung jawab manajemen tingkat senior.

21 Manajemen dapat memantau proses perencanaan


strategis TI, membuat keputusan berdasarkan hal
tersebut dan mengukur efektifitasnya.

22 Perencanaan TI jangka pendek dan jangka


panjang terjadi dan mengalir ke bawah di dalam
organisasi, dengan pembaruan yang dilakukan
sesuai kebutuhan.

4
Level No Pernyataan Ya Tidak

23 Strategi TI dan strategi organisasi secara


keseluruhan semakin menjadi terkoordinasi
dengan menempatkan proses bisnis dan
kemampuan nilai tambah dan memperluas
penggunaan aplikasi dan teknologi melalui
reengineering proses bisnis.

24 Ada proses yang ditetapkan dengan baik untuk


menentukan penggunaan sumber daya internal
dan eksternal yang diperlukan dalam
pengembangan system dan operasi.

5 25 Perencanaan strategis TI terdokumentasi, living


Optimised process, terus dipertimbangkan di dalam
penentuan tujuan bisnis dan menghasilkan nilai
bisnis yang nyata melalui investasi di dalam TI

26 Risiko dan pertimbangan nilai tambah secara


terus-menerus diperbarui di dalam proses
perencanaan strategis TI

27 Rencana realistik jangka panjang TI


dikembangkan dan diperbaharui secara konsisten
untuk mencerminkan perubahan teknologi dan
pengembangan bisnis terkait.

5
Level No Pernyataan Ya Tidak

28 Pembandingan terhadap norma-norma industry


yang handal dan baik berlangsung dengan baik
dan terintegrasi dengan proses perumusan strategi.

29 Rencana strategis termasuk bagaimana


pengembangan teknologi baru dapat mendorong
penciptaan bisnis baru dan meningkatkan
keuntungan yang kompetitif terhadap organisasi.

6
PO3 – Menentukan Arah Teknologi

Manajemen proses Menentukan arahan teknologi yang memenuhi kebutuhan bisnis


dimana TI memiliki sumber daya dan kemampuan, serta sistem aplikasi standar yang
stabil dan terintegrasi dengan biaya yang efektif dalam memenuhi kebutuhan bisnis
saat ini dan yang akan datang adalah :

Level No Pernyataan Ya Tidak

0 1 Tidak ada kesadaran akan pentingnya


perencanaan infrastruktur teknologi untuk entitas.
Non-existent

2 Tidak memiliki pengetahuan dan keahlian yang


diperlukan untuk pengembangan dalam rencana
infrastruktur teknologi.

3 Kurangnya pemahaman bahwa perencanaan


untuk perubahan teknologi sangat penting untuk
mengalokasikan sumber daya secara efektif.

1 4 Manajemen mengakui perlunya perencanaan


infrastruktur teknologi.
Initial/Ad
Hoc

5 Pengembangan komponen teknologi dan


implementasi teknologi baru bersifat ad hoc dan
terisolasi.

6 Terdapat pendekatan reaktif dan difokuskan


secara operasional untuk perencanaan

7
Level No Pernyataan Ya Tidak

infrastruktur.

7 Arahan teknologi sering kontradiksi antara


rencana evolusi produk hardware, system
software, dan vendor software aplikasi.

8 Komunikasi dari dampak potensial atas


perubahan teknologi tidak konsisten.

2 9 Kebutuhan akan pentingnya teknologi dan


perencanaan dikomunikasikan.
Repeatable
but Intuitive

10 Merupakan perencanaan taktis dan fokus pada


solusi teknis dalam masalah teknis, bukan pada
penggunaan teknologi untuk memenuhi
kebutuhan bisnis.

11 Evaluasi perubahan teknologi diserahkan ke


berbagai individu yang mengikuti intuitif, tetapi
serupa, proses.

12 Orang memperoleh kemampuan mereka dalam


perencanaan teknologi melalui pengalaman dan
teknik aplikasi yang diulang-ulang.

13 Teknik dan standar umum muncul untuk


pengembangan komponen infrastruktur.

8
Level No Pernyataan Ya Tidak

3 14 Manajemen menyadari pentingnya perencanaan


infrastruktur teknologi.
Defined
Process

15 Proses pengembangan perencanaan infrastruktur


teknologi cukup wajar dan dilakukan bersamaan
dengan rencana strategi TI.

16 Perencanaan infrastruktur teknologi yang baik,


terdokumentasi, dan dikomunikasikan dengan
baik, tetapi tidak konsisten diterapkan.

17 Arahan infrastruktur teknologi meliputi


pemahaman dimana perusahaan ingin memimpin
atau tertinggal di dalam penggunaan teknologi,
berdasar resiko-resiko dan penjajaran strategi
perusahaan.

18 Vendor utama dipilih berdasar pemahaman atas


teknologi jangka panjang dan perencanaan
pengembangan produk mereka, secara konsisten
sesuai arahan perusahaan.

19 Ada pelatihan formal dan komunikasi dari peran


dan tanggung jawab.

4 20 Manajemen menjamin pengembangan dan


perawatan perencanaan infrastruktur teknologi.
Managed

9
Level No Pernyataan Ya Tidak

and
Measurable

21 Staff TI mempunyai keahlian dan kecakapan


penting untuk mengembangkan perencanaan
infrastruktur teknologi.

22 Mempertimbangkan dampak potensial atas


perubahan dan penemuan teknologi baru.

23 Manajemen dapat mengenali penyimpangan dari


perencanaan dan mengantisipasi masalah.

24 Tanggung jawab dalam pengembangan dan


pemeliharaan perencanaan infrastruktur teknologi
telah dikerjakan.

25 Proses pengembangan perencanaan infrastruktur


teknologi yang canggih dan tanggap terhadap
perubahan.

26 Good practices internal telah dimasukkan ke


dalam proses.

27 Strategi sumber daya manusia berjalan bersama


arahan teknologi untuk memastikan bahwa staf TI
dapat mengelola perubahan teknologi.

28 Perencanaan migrasi untuk mengenalkan


teknologi baru telah ditetapkan.

10
Level No Pernyataan Ya Tidak

29 Outsourcing dan kerja sama telah memenuhi


kebutuhan atas keahlian dan kecakapan.

30 Manajemen menganalisis penerimaan resiko


untuk menjadi memimpin atau tertinggal dalam
penggunaan teknologi dalam mengembangkan
kesempatan bisnis baru atau efisiensi operasional.

5 31 Memiliki fungsi penelitian untuk meninjau


teknologi baru dan yang sedang berkembang dan
Optimised benchmark perusahaan terhadap norma industri.

32 Petunjuk atas perencanaan infrastruktur teknologi


diarahkan oleh industri, standar internasional, dan
pengembangan, bukan digerakkan oleh vendor
teknologi.

33 Dampak bisnis potensial dari perubahan teknologi


ditinjau kembali pada level manajemen senior.

34 Ada persetujuan eksekutif secara formal terhadap


arahan teknologi yang baru dan yang berubah.

35 Entitas telah memiliki perencanaan infrastruktur

11
Level No Pernyataan Ya Tidak

teknologi yang kuat dalam merefleksikan


kebutuhan bisnis, responsif, dan dapat
dimodifikasi untuk mencerminkan perubahan-
perubahan yang terjadi di dalam lingkungan
bisnis.

36 Memiliki proses yang kuat dan


berkesinambungan dalam memperbaiki
perencanaan infrastruktur teknologi.

37 Best practice industry digunakan secara ekstensif


dalam menentukan arahan teknis.

12
PO5 - Mengelola investasi TI

Management proses Mengatur investasi TI dimana dalam memenuhi kebutuhan bisnis


TI secara berkesinambungan dan dapat dibuktikan dengan meningkatnya efisiensi
biaya TI dan kontribusinya dalam memenuhi keuntungan bisnis yang terintegrasi dan
standarisasi layanan kepada harapan pengguna akhir adalah:

Level No Pernyataan Ya Tidak

0 1 Tidak memiliki kesadaran akan pentingnya


seleksi dan penganggaran investasi TI.
Non-existent

2 Tidak ada pelacakan atau pengawasan investasi


dan pengeluaran TI.

1 3 Organisasi mengakui perlunya mengelola


investasi TI, tetapi kebutuhan ini
Initial/Ad dikomunikasikan secara tidak konsisten.
Hoc

4 Alokasi dari tanggung jawab dalam pemilihan


investasi TI dan besaran dana pembangunan telah
dikerjakan secara ad hoc basis

5 Pemilihan investasi TI diimplementasikan secara


terisolasi dan penganggaran yang ada
didokumentasikan secara tidak formal.

6 Investasi TI berdasarkan ad hoc basis.

7 Penganggaran terfokus pada keputusan reaktif


dan operasional yang terjadi

13
Level No Pernyataan Ya Tidak

2 8 Terdapat pemahaman implisit akan perlunya


penganggaran dan seleksi investasi TI.
Repeatable
but intuitive

9 Kebutuhan untuk proses seleksi dan


penganggaran dikomunikasikan.

10 Kepatuhan tergantung pada inisiatif individu


dalam organisasi.

11 Terdapat sebuah teknik umum yang muncul


dalam membuat komponen anggaran TI.

12 Muncul keputusan reaktif dan taktik pendanaan.

13 Kebijaksanaan dan proses untuk investasi dan


3
penganggaran telah ditetapkan, didokumentasikan
Defined dan dikomunikasikan, dan melindungi bisnis
Process utama dan hasil teknologi.

14 Anggaran TI selaras dengan perencanaan strategis


TI dan bisnis

15 Proses penganggaran dan pemilihan investasi TI


telah diformulasikan, didokumentasikan dan

14
Level No Pernyataan Ya Tidak

dikomunikasikan.

16 Pelatihan formal ada tetapi masih didasarkan pada


inisiatif individu semata.

17 Persetujuan formal dari anggaran dan pemilihan


investasi TI telah berjalan dengan baik.

18 Staf TI memiliki keahlian dan keterampilan yang


diperlukan dalam mengembangkan anggaran TI
dan merekomendasikan investasi TI yang sesuai

4 19 Tanggung jawab dan akuntabilitas dalam


pemilihan investasi dan penganggaran ditugaskan
Managed kepada individu tertentu.
and
Measurable

20 Variasi anggaran diidentifikasi dan terselesaikan.

21 Analisa penetapan biaya formal telah dilakukan


meliputi pengeluaran langsung dan tidak
langsung dari operasional yang ada termasuk
investasi yang dituju, dan juga
mempertimbangkan seluruh pengeluaran life
cycle.

22
Menggunakan proses pendanaan yang proaktif

15
Level No Pernyataan Ya Tidak

dan standar.

23 Dampak perubahan dalam pengembangan dan


biaya operasional, dari hardware dan software,
untuk integrasi sistem dan sumber daya manusia
TI diakui dalam rencana investasi.

24 Manfaat dan pengembalian dihitung dalam term


keuangan dan non-keuangan.

5 25 Best practice industri biasanya digunakan sebagai


benchmark untuk biaya dan pendekatan
Optimised identifikasi dalam meningkatkan efektifitas
investasi

26 Analisa pengembangan teknologi digunakan


dalam proses pendanaan dan pemilihan investasi.

27 Proses manajemen investasi bertambah baik


secara terus menerus berdasarkan lesson learnt
dari analisa kinerja investasi.

28 Keputusan-keputusan investasi menyertakan tren


kenaikan harga/performa.

29 Alternatif-alternatif pembiayaan diinvestigasi dan


dievaluasi dalam konteks struktur modal
organisasi yang ada, menggunakan metode
evaluasi yang formal.

16
Level No Pernyataan Ya Tidak

30 Memiliki variansi identifikasi yang proaktif.

31 Sebuah analisis biaya dan manfaat jangka panjang


dari total life cycle tergabung dalam keputusan
investasi.

17
PO9 – Menilai dan Mengelola Resiko-resiko IT

Manajemen proses Menilai dan mengelola risiko TI untuk memenuhi kebutuhan bisnis
TI dalam melakukan analisa dan komunikasi mengenai risiko TI dan dampak
potensialnya pada proses bisnis dan tujuan adalah:

Level No Pernyataan Ya Tidak

0 1 Tidak ada penilaian resiko terhadap proses dan


keputusan bisnis.
Non-existent

2 Perusahaan tidak mempertimbangkan dampak


bisnis terkait dengan security vulnerabilities dan
ketidakpastian pengembangan proyek.

3 Tidak ada manajemen risiko dalam memperoleh


solusi TI dan penyediaan layanan TI

1 4 Resiko-resiko TI dipertimbangkan dengan cara


khusus.
Initial/Ad
Hoc

5 Penilaian informal resiko proyek terjadi


ditentukan oleh setiap proyek.

6 Penilaian resiko terkadang diidentifikasi di dalam


perencanaan sebuah proyek tetapi jarang
ditugaskan kepada manajer tertentu.

7 Resiko-resiko tertentu TI dan yang terkait, seperti


keamanan, ketersediaan, dan integritas

18
Level No Pernyataan Ya Tidak

adakalanya dipertimbangkan dalam basis proyek


per proyek.

8 Risiko-risiko TI dan yang terkait mempengaruhi


operational sehari-hari dan jarang dibicarakan
dalam rapat manajemen.

9 Dimana resiko-resiko telah dipertimbangkan,


mitigasi dilakukan dengan tidak konsisten.

10 Muncul pemahaman bahwa resiko-resiko TI


penting dan perlu dipertimbangkan.

2 11 Pendekatan penilaian risiko yang ada berkembang


dan belum matang dan diterapkan pada kebijakan
Repeatable manajer proyek
but Intuitive

12 Manajemen resiko selalu pada level tinggi dan


diterapkan hanya pada proyek utama atau sebagai
respons atas masalah yang terjadi.

13 Proses mitigasi resiko ada pada saat resiko


teridentifikasi.

3 14 Kebijakan manajemen resiko perusahaan


menetapkan kapan dan bagaimana dalam
Defined melakukan penilaian resiko.
Process

19
Level No Pernyataan Ya Tidak

15 Manajemen resiko mengikuti proses yang telah


ditetapkan dan terdokumentasi.

16 Pelatihan manajemen resiko tersedia bagi semua


staf.

17 Keputusan dalam mengikuti proses manajemen


resiko dan untuk menerima pelatihan diberikan
pada keleluasaan individu.

18 Metodologi dalam penilaian resiko sudah ada dan


wajar serta memastikan bahwa resiko utama pada
bisnis telah diidentifikasi.

19 Sebuah proses untuk mengurangi risiko utama


biasanya dimulai pada saat risiko teridentifikasi.

20 Deskripsi pekerjaan mempertimbangkan


tanggung jawab manajemen resiko.

4 21 Penilaian dan manajemen resiko merupakan


prosedur standard.
Managed
and
Measurable

22 Pengecualian-pengecualian terhadap proses


manajemen resiko dilaporkan kepada manajemen
TI.

23
Manajemen resiko TI merupakan tanggung jawab

20
Level No Pernyataan Ya Tidak

level manajemen senior.

24 Resiko dinilai dan dikurangi pada level proyek


individu dan juga secara teratur pada seluruh
operasional TI.

25 Manajemen disarankan dimana perubahan dalam


bisnis dan lingkungan TI dapat mempengaruhi
skenario risiko terkait TI secara signifikan.

26 Manajemen mampu untuk memonitor posisi


risiko dan membuat keputusan mengenai paparan
itu apakah dapat diterima.

27 Mengidentifikasi semua risiko yang diangkat oleh


pemilik, dan manajemen senior dan manajemen
TI dalam menentukan tingkat risiko yang akan
ditolerir oleh organisasi

28 Manajemen TI telah mengembangkan ukuran-


ukuran standard dalam penilaian resiko dan
pendefinisian rasio resiko/keuntungan.

29 Pengelolaan anggaran proyek manajemen resiko


operasional untuk menaksir kembali resiko-resiko
secara reguler.

30 Sebuah database manajemen resiko dibuat dan


merupakan bagian dari proses manajemen resiko
yang mulai diotomatiskan.

21
Level No Pernyataan Ya Tidak

31 Manajemen TI mempertimbangkan strategi-


strategi mitigasi risiko.

5 32 Manajemen resiko telah dibangun ke tahap yang


terstruktur, proses di perusahaan dilakukan dan
Optimised dikelola dengan baik.

33 Good practices diterapkan oleh perusahaan.

34 Penangkapan, analisis, dan pelaporan data


manajemen resiko dilakukan secara otomatis.

35 Pedoman diperoleh dari para pemimpin-


pemimpin di lapangan dan organisasi TI dalam
bertukar pengalaman.

36 Manajemen resiko benar-benar telah terintegrasi


dalam semua bisnis dan operasional TI, diterima
dengan baik dan secara luas melibatkan pengguna
layanan TI.

37 Manajemen akan menemukan dan bertindak


ketika operasional utama TI dan keputusan
investasi dibuat tanpa pertimbangan perencanaan
manajemen resiko.

22
Level No Pernyataan Ya Tidak

38 Manajemen secara terus-menerus melakukan


penilaian atas strategi-strategi risiko mitigasi.

23
PO10 Mengelola Proyek

Manajemen proses Mengelola proyek dalam memenuhi kebutuhan bisnis TI atas


penyampaian hasil proyek dimana telah ditetapkan jangka waktu, anggaran dan mutu
adalah:

Level No Pernyataan Ya Tidak

1 Teknik-teknik manajemen proyek tidak


digunakan dan perusahaan tidak
mempertimbangkan dampak bisnis terkait atas
0
mismanagement proyek dan kegagalan
Non-existent pengembangan proyek.

1 2 Penggunaan teknik dan pendekatan manajemen


proyek di dalam TI keputusannya diberikan pada
manajer TI.
Initial/AdHoc

3 Kurangnya komitmen manajemen antara pemilik


proyek dengan manajemen proyek.

4 Keptusan penting pada manajemen proyek dibuat


tanpa input dari manajemen user atau pelanggan.

5 Ada sedikit atau tidak ada pelanggan dan


keterlibatan user dalam mendifinisikan proyek-
proyek TI.

6 Tidak ada organisasi yang jelas di dalam TI untuk


manajemen proyek

7
Tidak ada kejelasan pada peran dan tanggung

24
Level No Pernyataan Ya Tidak

jawab pengelolaan proyek.

8 Proyek-proyek, jadwal dan milestone tidak


ditetapkan dengan jelas

9 Waktu dan biaya pegawai proyek tidak terlacak


dan sebanding dengan angaran.

2 10 Manajemen senior menyadari akan kebutuhan


dalam manajemen proyek TI
Repeatable
but Intuitive

11 Perusahaan dalam proses pengembangan dan


pemanfaatan beberapa teknik dan metode dari
proyek ke proyek.

12 Proyek TI secara informal menentukan sasaran


bisnis dan teknis

13 Keterlibatan stakeholder dibatasi dalam


manajemen proyek TI.

14 Pedoman awal telah dikembangkan untuk


berbagai aspek manajemen proyek.

15 Aplikasi dari pedoman manajemen proyek


diserahkan pada kebijaksanaan manajer proyek
individu

25
Level No Pernyataan Ya Tidak

3 16 Metodologi dan proses manajemen proyek TI


telah dibangun dan dikomunikasikan.
Defined
Process

17 Proyek-proyek TI ditentukan dengan sasaran


bisnis dan teknis yang sesuai.

18 Manajemen bisnis dan senior TI mulai terikat dan


terlibat dalam manajemen proyek-proyek TI.

19 Manajemen proyek ada di dalam TI, dengan


peran dan tanggung jawab awal yang telah
ditentukan.

20 Proyek-proyek TI diawasi dengan baik dan


dibperbaharui untuk milestone, jadwal, biaya, dan
ukuran kinerja.

21 Terdapat pelatihan manajemen proyek.

22 Pelatihan manajemen proyek merupakan hasil


utama dari inisiatif individu staff.

23 Prosedur quality assurance dan kegiatan pasca


implementasi sistem telah ditetapkan, tetapi tidak
luas diterapkan oleh manajer TI.

24 Proyek-proyek mulai dikelola sebagai portofolio

26
Level No Pernyataan Ya Tidak

4 25 Manajemen memerlukan matrik proyek standard


dan formal dan lesson learnt untuk ditinjau dalam
Managed and penyelesaian proyek.
Measurable

26 Manajemen proyek diukur dan dievaluasi secara


menyeluruh di dalam perusahaan tidak hanya di
dalam TI saja.

27 Kemajuan pada proses manajemen proyek


dirumuskan dan dikomunikasikan dengan
anggota tim proyek.

28 Manajemen TI telah menerapkan struktur


organisasi proyek dengan peran dan tanggung
jawab yang terdokumentasi dan kriteria kinerja
staf.

29 Memiliki kriteria dalam melakukan penilaian


keberhasilan pada setiap milestone.

30 Nilai dan risiko diukur dan dikelola, sebelum,


selama dan sesudah proyek selesai.

31 Proyek lebih mengutamakan sasaran perusahaan


dibanding sasaran TI itu sendiri.

32
Memiliki dukungan proyek yang kuat dan aktif

27
Level No Pernyataan Ya Tidak

dari manajemen sponsor sebagai stakeholder

33 Training manajemen proyek yang relevan


diberikan kepada staf manajemen proyek dan
seluruh pihak TI.

5 Optimised 34 Metodologi program dan full life cycle project


terbukti diterapkan, dilakukan, diintegrasikan
dalam budaya seluruh perusahaan.

35 Inisiatif yang saat ini sedang berjalan adalah


dengan melakukan identifikasi dan terbiasa
menjalankan best project management practices

36 Telah ditetapkan dan diimplementasikan sebuah


strategi TI dalam melakukan pengembangan
sumber daya dan proyek-proyek operasional.

37 Sebuah manajemen proyek yang terintegrasi


merupakan tanggung jawab dari proyek-proyek
dan program-program, yang harus dilakukan dari
sejak awal hinggal pasca implementasi.

38 Perencanaan program dan proyek-proyek


organisasi menjamin bahwa pengguna dan
sumber daya TI merupakan inisiatif strategis
pendukung terbaik yang dapat dimanfaatkan.

28
AI1 Identifikasi Solusi Otomatis

Manajemen proses Identifikasi solusi yang otomatis yang dapat memenuhi kebutuhan
bisnis TI dalam mewujudkan fungsional bisnis dan kebutuhan kontrol ke dalam
rancangan yang efektif dan efisien dari solusi yang otomatis adalah:

Level No Pernyataan Ya Tidak

0 1 Perusahaan tidak memerlukan identifikasi


fungsional dan persyaratan operasional untuk
Non-existent pengembangan, implementasi atau modifikasi
solusi, seperti sistem, layanan, infrastruktur,
software, dan data.

2 Perusahaan tidak memelihara akan ketersediaan


solusi teknologi potensial yang sesuai dengan
bisnisnya.

1 3 Ada kesadaran akan kebutuhan dalam


menetapkan keperluan dan mengenali solusi
Initial/AdHoc teknologi.

4 Kelompok-kelompok individu mendiskusikan


kebutuhan secara non-formal dan kebutuhan
tersebut terkadang didokumentasikan.

5 Solusi diidentifikasi oleh individu-individu


berdasarkan kesadaran pasar yang terbatas atau
dalam merespon tawaran dari vendor.

6 Setidaknya memiliki analisis atau penelitian


terstruktur yang minim atas teknologi yang ada

29
Level No Pernyataan Ya Tidak

2 7 Sudah ada beberapa pendekatan intuitif dalam


mengidentifikasi solusi TI dan bisnis.
Repeatable
but Intuitive

8 Solusi dikenali secara informal berdasarkan


pengalaman dan pengetahuan internal fungsi TI

9 Keberhasilan setiap proyek tergantung pada


keahlian dari beberapa individu utama.

10 Kualitas dokumentasi dan pengambilan


keputusan berbeda-beda.

11 Pendekatan tidak terstruktur digunakan dalam


mendefinisikan persyaratan dan mengidentifikasi
solusi teknologi.

3 12 Sudah ada pendekatan yang terstruktur dan jelas


dalam menentukan solusi TI.
Defined
Process

13 Pendekatan penetapan solusi TI memerlukan


pertimbangan alternatif bisnis atau dievaluasi
terhadap kebutuhan pengguna, peluang teknologi,
kelayakan ekonomi, penaksiran resiko, dan
faktor-faktor lain.

14 Proses dalam menentukan solusi TI diterapkan


untuk beberapa proyek berdasarkan faktor-faktor
seperti keputusan yang dibuat oleh keterlibatan

30
Level No Pernyataan Ya Tidak

staff individu, sejumlah manajemen yang terlibat,


dan ukuran serta prioritas kebutuhan bisnis.

15 Pendekatan terstruktur digunakan untuk


menentukan kebutuhan dan mengidentifikasi
solusi TI.

4 16 Memiliki metodologi yang kuat dalam


mengidentifikasi dan menilai solusi TI yang
Managed and digunakan pada sebagian besar proyek-proyek.
Measurable

17 Dokumentasi proyek dalam mutu yang baik dan


setiap langkah disetujui dengan baik

18 Kebutuhan disampaikan dengan baik dan sesuai


dengan standar struktur.

19 Alternatif-alternatif solusi dipertimbangkan,


meliputi analisis biaya dan keuntungan

20 Metodologi jelas, tegas, umumnya dipahami, dan


terukur.

21 Memiliki interface yang jelas antara manajemen


TI dengan bisnis dalam mengidentifikasi dan
penilaian solusi TI.

31
Level No Pernyataan Ya Tidak

5 22 Metodologi yang mantap untuk identifikasi dan


penilaian solusi TI dilakukan untuk kemajuan
Optimised yang berkelanjutan.

23 Akuisisi dan pelaksanaan metodologi memiliki


fleksibilitas untuk proyek skala besar dan kecil.

24 Memiliki metodologi yang didukung oleh


pengetahuan internal dan eksternal database yang
berisi bahan referensi pada solusi teknologi.

25 Metodologi itu sendiri menghasilkan


dokumentasi dalam struktur yang sudah dikenal
yang membuat produksi dan pemeliharaan
menjadi efisien.

26 Peluang baru sering diidentifikasi dengan


memanfaatkan teknologi dalam memperoleh
keuntungan yang kompetitif, mempengaruhi
rekayasa ulang proses bisnis dan memperbaiki
seluruh efisiensi.

27 Manajemen akan mendeteksi dan bertindak jika


solusi TI disetujui tanpa pertimbangan alternatif
teknologi atau persyaratan fungsional bisnis.

32
AI 2 –Memperoleh dan Merawat Aplikasi Software

Manajemen proses Memperoleh dan merawat aplikasi software untuk memenuhi


kebutuhan bisnis dimana TI membuat aplikasi yang sesuai dengan kebutuhan bisnis,
dan tepat pada waktunya dan dengan biaya yang pantas adalah:

Level No Pernyataan Ya Tidak

0 1 Tidak ada proses dalam merancang dan


menentukan aplikasi.
Non-existent

2 Biasanya, aplikasi yang diperoleh berdasarkan


penawaran vendor, merek atau kebiasaan staf TI
terhadap produk tertentu, dengan sedikit atau
tanpa pertimbangan yang persyaratan aktual.

1 3 Adanya kesadaran akan perlunya proses untuk


memperoleh dan memelihara aplikasi
Initial/Ad
Hoc

4 Pendekatan dalam memperoleh dan memelihara


aplikasi software berbeda dari proyek ke proyek.

5 Keragaman solusi individual untuk kebutuhan


bisnis tertentu kemungkinan diperlukan secara

33
Level No Pernyataan Ya Tidak

independen, menghasilkan pemeliharaan dan


support yang tidak efisien

6 Ada sedikit pertimbangan terhadap keamanan


aplikasi dan ketersediaan pada desain atau
akuisisi atas aplikasi software.

2 7 Ada beberapa perbedaan tetapi serupa pada


proses perolehan dan perawatan aplikasi berdasar
Repeatable keahlian di dalam fungsi TI.
but Intuitive

8 Rasio keberhasilan aplikasi sangat bergantung


pada skill dan pengalaman yang dipunyai di
dalam TI.

9 Pemeliharaan biasanya bermasalah dan sulit pada


saat orang internal yang memiliki pengetahuan
tersebut sudah tidak di dalam organisasi

10 Ada sedikit pertimbangan keamanan aplikasi dan


ketersediaan rancangan atau perolehan aplikasi
software.

3 11 Adanya proses pemahaman yang baik dan jelas


dalam perolehan dan perawatan aplikasi software
Defined
Process

12 Proses ini sejalan antara TI dengan strategi bisnis.

34
Level No Pernyataan Ya Tidak

13 Upaya yang dilakukan untuk menerapkan proses


yang didokumentasikan secara konsisten di
seluruh proyek dan berbagai aplikasi.

14 Metodologi yang digunakan umumnya tidak


fleksibel dan sulit diterapkan dalam semua
keadaan, jadi langkah yang mungkin adalah
dengan melakukan by passed.

15 Kegiatan pemeliharaan telah direncanakan,


dijadwalkan dan dikoordinasikan.

4 16 Ada metodologi yang dipahami dengan baik dan


formal yang mencakup rancangan dan proses
Managed spesifikasi, kriteria untuk penambahan, proses
and untuk melakukan tes dan kebutuhan untuk
Measurable dokumentasi.

17 Sudah memiliki mekanisme approval yang


terdokumentasi dan disetujui untuk memastikan
bahwa semua langkah diikuti dan pengecualian
yang telah otorisasi.

18 Prosedur dan praktek telah berkembang sesuai


dengan perusahaan, digunakan oleh semua staff
dan dapat diterapkan pada sebagaian besar
kebutuhan aplikasi.

5 19
Praktek pemeliharaan dan perolahan software
Optimised
aplikasi sudah sesuai dengan proses yang telah

35
Level No Pernyataan Ya Tidak

ditetapkan.

20 Pendekatan berdasarkan component-based, sesuai


dengan aplikasi yang distandarisasi untuk
keperluan bisnis.

21 Pendekatan pada seluruh perusahaan.

22 Metodologi pemeliharaan dan perolahan maju


dengan baik dan memungkinkan sosialisasi
dengan cepat, responsif dan fleksibilitas dalam
menjawab perubahan kebutuhan bisnis.

23 Metodologi implementasi dan akuisisi software


aplikasi telah diarahkan pada kemajuan yang
berkelanjutan dan didukung oleh database
knowledge internal dan eksternal yang berisi
referensi bahan dan best practices.

24 Metodologi yang digunakan menyediakan


dokumentasi secara terstruktur yang dapat
membuat produksi dan pemeliharaan menjadi
efisien

36
AI5 Memperoleh Sumber Daya TI

Manajemen proses Memperoleh sumber daya TI dalam memenuhi kebutuhan bisnis


dimana TI meningkatkan penghemat biaya pada TI dan kontribusinya pada
keuntungan bisnis adalah:

Level No Pernyataan Ya Tidak

0 1 Tidak ada proses perolehan sumber daya TI yang


baik.
Non-existent

2 Perusahaan tidak mengenali kebutuhan yang jelas


atas kebijakan dan prosedur perolehan untuk
memastikan bahwa semua sumber daya TI
tersedia tepat waktu dan efisiensi biaya.

1 3 Perusahaan telah mengenali kebutuhan akan


kebijakan dan prosedur yang terdokumentasi,
Initial/Ad yang menghubungkan perolehan TI pada proses
Hoc perolehan seluruh perusahaan bisnis.

4 Kontrak untuk perolehan sumber daya TI telah


dikembangkan dan dikelola dengan manajer
proyek dan individu professional terlatih lainnya
dibandingkan hasil dari prosedur dan kebijakan
formal.

5 Ada hubungan khusus antara perolehan


perusahaan dan proses manajemen kontrak dan
TI.

6 Kontrak bagi perolehan dikelola pada akhir


proyek bukan secara terus-menerus.

37
2 7 Adanya kesadaran di perusahaan atas kebutuhan
prosedur dan kebijakan dasar terhadap akuisi TI.
Repeatable
but Intuitive

8 Prosedur dan kebijakan secara parsial terintegrasi


dengan proses perolehan organisasi bisnis secara
keseluruhan.

9 Proses pengadaan dimanfaatkan terutama untuk


proyek yang sangat nyata & besar

10 Tanggung jawab dan akuntabilitas bagi


pengadaan TI dan manajemen kontrak ditentukan
kontrak individu berdasarkan pengalaman
manajer.

11 Pentingnya manajemen supplier dan hubungan


manajemen ada tetapi ditujukan berdasar inisiatif
individu.

12 Proses kontrak dimanfaatkan terutama oleh


proyek yang sangat nyata atau besar.

3 13 Manajemen telah mengadakan kebijakan dan


prosedur bagi perolehan/akuisisi TI
Defined
Process

14 Kebijakan dan prosedur diarahkan oleh proses


perolehan perusahaan bisnis secara keseluruhan.

38
15 Perolehan TI sebagian besar terintegrasi dengan
seluruh sistem perolehan bisnis.

16 Memiliki standard TI atas perolehan sumber daya


TI.

17 Supplier sumber daya TI terintegrasi di dalam


mekanisme manajemen proyek perusahaan dari
kontrak perspektif manajemen.

18 Manajemen TI mengkomunikasikan kebutuhan


bagi perolehan yang layak dan manajemen
kontrak di seluruh fungsi TI.

4 19 Perolehan TI terintegrasi secara penuh dengan


seluruh sistem pengadaan bisnis.
Managed
and
Measurable

20 Standard TI bagi perolehan sumber daya IT


digunakan untuk semua pengadaan.

21 Ukuran kontrak dan manajemen pengadaan


diambil berkait dengan kasus bisnis bagi
perolehan TI.

22 Tersedianya pelaporan yang mendukung tujuan-


tujuan bisnis.

23 Manajemen umumnya mengetahui pengecualian


terhadap kebijakan dan prosedur terhadap
perolehan TI.

39
24 Hubungan manajemen strategis sedang
berkembang.

25 Manajemen TI mendukung penggunaan


perolehan dan proses manajemen kontrak untuk
semua perolehan dengan meninjau ukuran
kinerja.

5 26 Manajemen telah melakukan dan menghasilkan


seluruh proses bagi perolehan TI.
Optimised

27 Manajemen melakukan kepatuhan sesuai dengan


kebijakan dan prosedur atas perolehan TI.

28 Ukuran pada manajemen pengadaan dan kontrak


dilakukan terkait dengan kasus bisnis untuk
perolehan TI.

29 Hubungan baik yang ditetapkan dari waktu ke


waktu dengan suplier dan mitra dan kualitas
hubungan, diukur dan dipantau.

30 Hubungan dikelola secara strategis.

31 Prosedur, kebijakan, standard TI untuk perolehan


sumber daya TI dikelola dengan strategis dan
respons terhadap proses ukuran.

40
32 Manajemen TI mengkomunikasikan pentingnya
strategis perolehan yang layak dan manajemen
kontrak diseluruh fungsi TI.

41
AI6 Mengelola Perubahan-perubahan

Manajemen proses Mengelola perubahan-perubahan dalam memenuhi kebutuhan


bisnis dimana TI bereaksi terhadap kebutuhan bisnis sejalan dengan strategi bisnis,
dan mengurangi kerusakan atas penyampaian layanan dan solusi dan pekerjaan
berulang adalah:

Level No Pernyataan Ya Tidak

0 1 Tidak ada proses manajemen perubahan dan


perubahan yang dapat dilakukan hampir tidak ada
Non-existent kontrol.

2 Tidak ada kesadaran bahwa perubahan dapat


mengacaukan operasional bisnis dan TI, dan tidak
adanya kesadaran dari manajemen akan manfaat
atas perubahan yang baik.

1 3 Dikenali bahwa perubahan harus dikelola dan


dikontrol.
Initial/Ad
Hoc

4 Praktek yang beragam dan perubahan yang tidak


sah terjadi.

5 Ada sedikit atau tidak ada dokumentasi dari


perubahan, dan konfigurasi dokumentasi tidak
lengkap dan tidak dapat dipercayai.

6 Kesalahan terjadi kemungkinan besar bersamaan


dengan interupsi pada lingkungan produksi yang
disebabkan oleh manajemen perubahan yang
kurang bagus.

42
Level No Pernyataan Ya Tidak

2 7 Ada proses manajemen perubahan informal dan


sebagian besar perubahan mengikuti pendekatan
Repeatable ini, namun tidak terstruktur, mendasar, dan
but Intuitive cenderung akan error.

8 Akurasi dokumentasi konfigurasi tidak konsekuen


dan hanya pada perencanaan terbatas, dan
penilaian dampak terjadi lebih dulu sebelum
perubahan.

3 9 Ada proses manajemen perubahan formal yang


baik mencakup kategorisasi, prioritasisasi,
Defined prosedur darurat, autorisasi perubahan, dan
Process manajemen release dan sesuai dengan
perkembangan yang cepat.

10 Workaround terjadi dan proses-prosesnya sering


di-bypassed.

11 Kesalahan masih terjadi dan terkadang terjadi


perubahan yang tidak diotorisasi.

12 Analisis dampak perubahan TI pada operasional


bisnis menjadi terbentuk untuk mendukung
perencanaan teknologi dan aplikasi baru.

4 13 Proses manajemen perubahan dikembangkan

43
Level No Pernyataan Ya Tidak

Managed dengan baik dan dijalankan secara konsisten


and untuk semua perubahan, dan manajemen yakin
Measurable pengecualian yang ada cukup sedikit.

14 Proses yang ada efisien dan efektif tetapi


mengandalkan prosedur manual dan kontrol
untuk memastikan bahwa mutu tercapai.

15 Semua perubahan melalui perencanaan dan ada


penilaian dampak untuk memperkecil
kemungkinan masalah pada pasca produksi.

16 Proses aproval untuk perubahan sudah ada.

17 Dokumentasi manajemen perubahan sudah ada


saat ini dan sudah tepat, dimana perubahan
terlacak secara formal.

18 Dokumentasi konfigurasi sudah akurat.

19 Perencanaan manajemen perubahan TI dan


implementasi menjadi lebih terintegrasi dengan
perubahan-perubahan dalam proses bisnis,
menjamin dimana training, perubahan organisasi
dan persoalan-persolan kelancaran bisnis sudah
disesuaikan.

20 Ada koordinasi yang meningkat antara


manajemen perubahan TI dan perancangan ulang

44
Level No Pernyataan Ya Tidak

proses bisnis.

21 Ada proses yang konsisten untuk mengawasi


mutu dan kinerja proses manajemen perubahan.

5 22 Proses manajemen perubahan secara teratur


ditinjau dan diperbarui untuk tetap sejalan dengan
Optimised good practices.

23 Proses review mencerminkan hasil dari


monitoring.

24 Configuration information berbasis komputer dan


menyediakan kontrol versi.

25 Pelacakan perubahan sudah canggih/memuaskan


dan mencakup tools dalam menemukan software
yang tidak sah dan tidak berlisensi.

26 Manajemen perubahan TI terintegrasi dengan


manajemen perubahan bisnis untuk memastikan
bahwa TI dapat meningkatkan produktivitas dan
menciptakan kesempatan bisnis baru bagi
perusahaan.

45
DS1 Menetapkan dan mengelola mutu layanan

Manajemen proses Menentukan dan mengelola tingkat layanan yang dapat memenuhi
kebutuhan bisnis dimana TI memastikan kesejajaran utama antara layanan TI dengan
strategi bisnis adalah:

Level No Pernyataan Ya Tidak

0 1 Manajemen tidak mengenali kebutuhan terhadap


proses dalam mendefinisikan tingkat mutu
Non Existent layanan.

2 Tidak ada penugasan dan tanggung jawab dalam


melakukan pengawasan.

1 3 Ada kesadaran pentingnya mengatur mutu


layanan, tetapi prosesnya masih informal dan
Initial/Ad- reaktif.
hoc

4 Tanggung jawab dan akuntabilitas dalam


mendefinisikan dan mengatur layanan belum
didefinisikan.

5 Jika ada pengukuran kinerja, itu hanya ditujukan


pada sasaran yang ada dan bersifat kualitatif saja.

6 Laporan yang ada informal, tidak konsisten, dan


tidak sering.

2 7 Ada kesepakatan mengenai mutu layanan, tetapi


masih informal dan tidak ditinjau ulang.
Repeatable

46
Level No Pernyataan Ya Tidak

but intuitive

8 Pelaporan mutu layanan tidak lengkap dan


mungkin belum relevan dengan kebutuhan
customer.

9 Pelaporan mutu layanan tergantung pada inisiatif


dan keahlian individual manajer.

10 Koordinasi untuk mutu layanan disesuaikan


dengan tanggung jawab, tetapi dengan otoritas
terbatas.

11 Jika terdapat proses kepatuhan terhadap layanan,


sifatnya sukarelawan dan tidak dipaksakan.

3 12 Tanggung jawab telah didefinisikan, tetapi


tergantung dari kebijakan masing-masing.
Define
process

13 Proses pengembangan service level agreement


(SLA) ditujukan pada penugasan kembali mutu
layanan dan kepuasan pelanggan.

14 Layanan dan mutu layanan telah didefinisikan,


terdokumentasi, dan memiliki proses standar.

15 Layanan telah diidentifikasi, tetapi prosedur


bagaimana mengatasinya masih bersifat informal.

47
Level No Pernyataan Ya Tidak

16 Ada sasaran yang jelas antara pencapaian mutu


layanan yang diharapkan dan dana yang
disediakan.

17 Mutu layanan telah disetujui tetapi belum


disesuaikan dengan kebutuhan bisnis.

4 18 Mutu pelayanan telah didefinisikan disesuaikan


dengan kebutuhan sistem dan berbentuk desain
Manage and aplikasi dan lingkungan operasional.
measureable

19 Pengukuran terhadap kepuasan pelanggan telah


dilakukan secara rutin.

20 Pengukuran kinerja merefleksikan kebutuhan


pelanggan, dibandingkan pada sasaran TI.

21 Pengukuran penugasan mutu layanan telah


distandarisasi dan merefleksikan aturan-aturan
industry.

22 Kriteria pendefinisian mutu layanan didasarkan


pada bisnis termasuk ketersediaan, keandalan,
kinerja, kapasitas pertumbuhan, dukungan user,
perencanaan yang berkesinambungan, dan
pertimbangan keamanan.

23 Akar penyebab permasalahan terhadap mutu


layanan dilakukan secara rutin jika mutu layanan
belum terpenuhi.

48
Level No Pernyataan Ya Tidak

24 Proses pelaporan untuk pengawasan mutu


layanan ditingkatkan secara otomatis.

25 Risiko operasional dan keuangan telah dipahami


dengan jelas.

26 Sistem formal terhadap pengukuran KPI dan KGI


telah dilakukan.

5 27 Tingkat pelayanan dievaluasi ulang untuk


menjamin kesesuaian antara TI dan sasaran
Optimised bisnis, sambil mengambil keuntungan dari
penggunaan teknologi termasuk rasio cost-
benefit.

28 Seluruh proses pengaturan tingkat pelayanan


ditujukan pada peningkatan yang kontinu.

29 Tingkat kepuasan pelanggan diatur dan dimonitor


secara berkala.

30 Tingkat pelayanan yang diharapkan


merefleksikan sasaran strategi unit bisnis dan
dievaluasi sesuai dengan norma industri.

31 Manajemen TI memiliki sumber daya dan

49
Level No Pernyataan Ya Tidak

akuntabilitas untuk memenuhi target tingkat


pelayanan dan kompensasinya disesuaikan
dengan insentif untuk mencapai target.

32 Manajemen senior mengawasi KPI dan KGI


sebagai bagian dari proses peningkatan layanan.

50
DS4 Menjamin keberlangsungan layanan

Manajemen proses Menjamin keberlangsungan layanan memenuhi kebutuhan bisnis


TI dengan memastikan sedikitnya dampak bisnis yang terjadi terhadap interupsi
layanan TI adalah:

Level No Pernyataan Ya Tidak

0 1 Tidak ada pemahaman terhadap resiko dan


ancaman pada operasi TI atau pengaruh dari
Non Existent hilangnya pelayanan TI pada bisnis.

2 Keberlangsungan layanan tidak dipertimbangkan


sebagai kebutuhan yang perlu diperhatikan oleh
manajemen.

1 3 Tanggung jawab untuk keberlangsungan layanan


bersifat informal dan wewenang untuk melakukan
Initial/Ad- tanggungjawab masih terbatas.
hoc

4 Manajemen mulai menyadari adanya risiko yang


berhubungan dan kebutuhan akan
keberlangsungan layanan.

5 Fokus perhatian manajemen lebih untuk


keberlangsungan layanan pada sumber daya
infrastruktur dibandingkan pada layanan TI.

6 User melakukan pekerjaan sendiri dalam


merespon gangguan layanan.

51
Level No Pernyataan Ya Tidak

7 Respon TI terhadap gangguan utama bersifat


reaktif dan tidak dipersiapkan sebelumnya.

8 Perencanaan disesuaikan dengan kebutuhan TI


dan tidak mempertimbangkan kebutuhan bisnis.

2 9 Tanggungjawab untuk menjamin


Repeatable keberlangsungan layanan telah ditetapkan.
but intuitive

10 Pendekatan untuk menjamin keberlangsungan


layanan telah terbagi-bagi.

11 Ketersediaan sistem akan laporan bersifat


sporadis (kadang kala), bahkan mungkintidak
lengkap, dan tidak memperhitungkan
pengaruhnya terhadap bisnis.

12 Tidak ada rencana kontinuitas TI yang


didokumentasikan, walaupun ada kesepakatan
mengenai ketersediaan layanan dan prinsip
utamanya telah dipahami.

13 Ada inventori mengenai sistem dan komponen


yang dapat diandalkan.

14 Pelatihan untuk keberlangsungan layanan telah


dilakukan, tetapi hasilnya tergantung pada
individu.

52
Level No Pernyataan Ya Tidak

3 15 Akuntabilitas untuk mengatur keberlangsungan


layanan sudah jelas.
Defined
Process

16 Tanggung jawab untuk perencanaan


keberlangsungan layanan dan melakukan test
telah didefinisikan dan dilakukan.

17 Rencana keberlangsungan TI didokumentasikan


dan didasarkan pada sistem kritis yang
mempengaruhi bisnis.

18 Tersedia laporan testing keberlangsungan layanan


secara periodik.

19 Masing-masing individu mengambil inisiatif


untuk mengikuti standar dan menerima pelatihan
jika terdapat insiden atau bencana.

20 Manajemen mengkomunikasikan secara konsisten


kebutuhan untuk merencanakan keberlangsungan
layanan.

21 Sistem redundansi telah diaplikasikan.

22 Ada inventori terhadap sistem dan komponen-


komponennya.

4 23 Tanggung jawab dan standar untuk


keberlangsungan layanan telah ditegakkan.
Managed

53
Level No Pernyataan Ya Tidak

and
Measurable

24 Tanggung jawab untuk memelihara rencana


keberlangsungan layanan telah dilakukan.

25 Kegiatan perawatan berdasarkan pada hasil


percobaan layanan, pelatihan internal, perubahan
TI, dan lingkungan bisnis.

26 Struktur data mengenai keberlangsungan layanan


telah dikumpulkan, dianalisa, dan dilaporkan.

27 Telah dilakukan pelatihan resmi mengenai


keberlangsungan layanan.

28 Ketersediaan sistem disebarluaskan secara


konsisten.

29 Praktek-praktek yang tersedia dan perencanaan


keberlangsungan layanan saling mempengaruhi
satu dengan yang lainnya.

30 Insiden yang terjadi diklasifikasikan dan di


eskalasi kepada masing-masing atasan yang
terlibat.

31 KGI dan KPI untuk keberlangsungan layanan


telah dilakukan dan disepakati walaupun belum
diukur secara konsisten.

54
Level No Pernyataan Ya Tidak

5 32 Proses keberlangsungan layanan terintegrasi


memiliki benchmarking dan best external
Optimised practice.

33 Rencana kelanjutan TI diintegrasikan dengan


rencana kelanjutan bisnis dan dilakukan secara
rutin.

34 Kebutuhan untuk menjamin keberlangsungan


layanan mendapat perlindungan dari vendor dan
supplier utama.

35 Dilakukan pengujian umum rencana kelanjutan


TI, dan hasilnya menjadi masukan untuk
mengatur perencanaan.

36 Pengumpulan dan analisa data digunakan untuk


peningkatan proses.

37 Pelatihan dan perencanaan keberlangsungan


layanan telah dilakukan secara penuh.

38 Manajemen menjamin bahwa bencana atau


insiden utama tidak akan terjadi.

39 Peningkatan untuk pelatihan dipahami dan


ditegakkan.

55
Level No Pernyataan Ya Tidak

40 KGI dan KPI pada pencapaian keberlangsungan


layanan telah diukur dengan cara sistematis.

41 Manajemen menyesuaikan rencana untuk


keberlangsungan layanan mengacu pada KPI dan
KGI.

56
DS5 Menjamin keamanan sistem

Manajemen proses Menjamin keamanan system memenuhi kebutuhan bisnis TI dalam


memelihara integritas informasi dan proses infrastruktur dan meminimalkan dampak
keamanan dan insiden adalah:

Level No Pernyataan Ya Tidak

0 1 Organisasi tidak mengenali kebutuhan keamanan


TI.
Non-existent

2 Akuntabilitas dan tanggung jawab untuk


menjamin keamanan belum dibagi-bagi.

3 Pengukuran dukungan pengelolaan keamanan TI


tidak diimplementasikan.

4 Tidak ada pelaporan keamanan TI dan tidak ada


proses untuk merespon keamanan TI.

5 Ada kekurangan dalam mengenali proses


administrasi keamanan system.

1 6 Organisasi mengenali kebutuhan untuk keamanan


TI.
Initial/Ad
Hoc

7 Kesadaran mengenai kebutuhan keamanan TI


bersifat individual.

8 Keamanan sistem dilakukan secara reaktif.

57
Level No Pernyataan Ya Tidak

9 Keamanan sistem tidak diukur.

10 Apabila ada pelanggaran keamanan TI akan


terjadi saling tunjuk, karena tanggungjawabnya
yang tidak jelas.

11 Respon pada keamanan dan pelanggaran TI tidak


dapat diprediksi.

2 12 Tanggungjawab dan akuntabilitas untuk


keamanan TI diberikan pada koordinator
Repeatable keamanan TI, walaupun hak dan wewenang dari
but Intuitive manajemen koordinator terbatas.

13 Kesadaran akan kebutuhan keamanan dibagi-bagi


dan terbatas.

14 Walaupun informasi yang relevan mengenai


keamanan dihasilkan oleh sistem, tetapi tidak
dianalisa.

15 Layanan dari pihak ketiga tidak mengatur


keamanan spesifik yang diperlukan organisasi.

16 Kebijakan keamanan telah dilakukan, tetapi


kemampuan dan peralatan masih terbatas.

58
Level No Pernyataan Ya Tidak

17 Pelaporan keamanan TI tidak lengkap.

18 Disediakan pelatihan mengenai keamanan tetapi


inisiatifnya berasal dari individu.

19 Keamanan TI dilihat sebagai tanggungjawab dari


domain TI dan bisnis dan tidak melihatnya
sebagai hal yang dominan.

3 20 Ada kesadaran keamanan yang dilakukan oleh


manajemen.
Defined
Process

21 Prosedur keamanan TI didefinisikan dan


disesuaikan dengan kebijakan keamanan TI.

22 Tanggungjawab untuk keamanan TI dilakukan


dan dipahami, tetapi belum ditegakkan secara
konsisten.

23 Ada perencanaan keamanan TI dan solusinya


dianalisa dengan faktor resiko.

24 Laporan keamanan tidak berisi fokus bisnis yang


jelas.

25 Testing keamanan dilakukan secara ad hoc (untuk


tujuan tertentu) misal pengujian
gangguan/intrusion.

59
Level No Pernyataan Ya Tidak

26 Pelatihan keamanan disediakan untuk TI dan


bisnis tetapi belum diatur dan dijadwalkan secara
formal.

4 27 Tanggungjawab untuk keamanan TI telah diatur,


dilakukan, dan ditegakkan.
Managed
and
Measurable

28 Resiko keamanan TI dan pengaruhnya telah


dianalisa dan dilakukan secara konsisten.

29 Kebijakan keamanan dan pelatihan dilengkapi


dengan dasar keamanan yang spesifik.

30 Metode yang digunakan dalam memperkenalkan


kesadaran keamanan bersifat perintah.

31 Identifikasi user, bukti otentik, dan otorisasi telah


distandarisasi.

32 Sertifikasi keamanan telah diberikan pada staff


yang bertanggungjawab untuk mengaudit dan
mengatur keamanan.

33 Testing keamanan dilakukan sesuai standar dan


proses formal untuk meningkatkan tingkat
keamanan.

60
Level No Pernyataan Ya Tidak

34 Proses keamanan TI dikoordinasikan dengan


seluruh fungsi keamanan organisasi.

35 Laporan keamanan TI disesuaikan dengan sasaran


bisnis.

36 Pelatihan keamanan TI dilakukan untuk bisnis


dan TI.

37 Pelatihan keamanan TI direncanakan dan diatur


untuk merespons kebutuhan bisnis dan
menjelaskan resiko keamanan.

38 KGI dan KPI untuk pengaturan keamanan telah


didefinisikan tetapi belum diukur.

5 39 Keamanan TI merupakan gabungan


tanggungjawab bisnis dan manajemen TI
Optimised diintegrasikan dengan sasaran bisnis.

40 Kebutuhan keamanan TI telah didefinisikan, dan


disertakan dalam perencanaan keamanan yang
telah disetujui.

41 User dan customer ditingkatkan akuntabilitasnya


dalam mendefinisikan kebutuhan keamanan, dan
fungsi keamanan diintegrasikan dengan aplikasi
pada tahap desain.

61
Level No Pernyataan Ya Tidak

42 Insiden keamanan disesuaikan dengan prosedur


formal yang didukung oleh tools otomatis.

43 Penugasan keamanan secara periodik telah


dilakukan untuk mengevaluasi efektifitas
implementasi perencanaan keamanan.

44 Informasi mengenai ancaman dan gangguan


dikumpulkan dan dianalisa secara sistematis.

45 Kontrol yang memadai untuk mengurangi resiko


dikomunikasikan dan dilakukan.

46 Testing keamanan, akar penyebab permasalahan


dianalisa dan diidentifikasi yang digunakan untuk
peningkatan proses keamanan.

47 Proses keamanan dan teknologi disesuaikan


dengan perluasan organisasi.

48 KGI dan KPI untuk pengaturan keamanan


dikumpulkan dan dikomunikasikan.

49 Manajemen menggunakan KGI dan KPI untuk


menyesuaikan perencanaan keamanan dalam
proses peningkatan yang berkelanjutan.

62
DS10 Mengelola masalah

Manajemen proses Mengelola masalah untuk memenuhi kebutuhan bisnis TI dalam


memastikan kepuasan pengguna akhir dengan mutu layanan dan layanan yang
diberikan, dan mengurangi kesalahan dalam memberikan solusi dan layanan serta
pengulangan pekerjaan adalah:

Level No Pernyataan Ya Tidak

0 1 Tidak ada kesadaran mengenai pentingnya


mengelola masalah, tidak ada diferensiasi antara
Non-existent masalah dan insiden.

2 Tidak ada upaya untuk mengidentifikasi akar


penyebab masalah atas insiden yang terjadi.

1 3 Individu telah memahami pentingnya mengelola


masalah dan pemecahannya masih per kasus.
Initial/Ad
Hoc

4 Kunci pengetahuan individual menyediakan


beberapa bantuan untuk mengatasi permasalahan
yang sesuai keahlian, tetapi tanggung jawab
untuk pengaturan masalah belum diberikan.

5 Informasi tidak dibagi, mengakibatkan


kehilangan waktu produktivitas yang digunakan
untuk menemukan solusi dari permasalahan.

2 6 Ada kesadaran yang meluas terhadap kebutuhan


dan keuntungan untuk mengelola masalah pada
Repeatable unit bisnis dan fungsi pelayanan informasi.
but Intuitive

63
Level No Pernyataan Ya Tidak

7 Proses resolusi dilakukan dimana beberapa


individu bertanggungjawab untuk
mengidentifikasi dan memecahkan masalah.

8 Informasi disebarluaskan diantara para staff


dengan cara informal dan reaktif.

9 Mutu layanan pada tingkat komunitas user


terhambat karena struktur pengetahuan terbatas
yang ada pada problem manajer.

3 10 Kebutuhan untuk sistem pengaturan masalah


terintegrasi diterima dan didukung oleh
Defined manajemen dan disediakan anggaran untuk staff
Process dan pelatihan.

11 Resolusi masalah dan proses eskalasi telah


distandarisasi.

12 Pencatatan dan pengaturan masalah dan solusinya


dibagi-bagi dalam tim, menggunakan tools yang
ada tanpa sentralisasi.

13 Penyimpangan norma standar sulit dideteksi.

14 Informasi disebarluaskan diantara para staff


dengan cara proaktif dan formal.

64
Level No Pernyataan Ya Tidak

15 Manajemen meninjau masalah dan menganalisa


identifikasi permasalahan, serta pemecahannya
masih terbatas dan informal.

4 16 Proses pengaturan masalah dipahami di seluruh


level organisasi.
Managed
and
Measurable

17 Tanggung jawab dan kepemilikan jelas dan


ditetapkan.

18 Metode dan prosedur didokumentasikan,


dikomunikasikan, dan diukur efektifitasnya.

19 Permasalahan utama diidentifikasi, dicatat,


dilaporkan, dan resolusinya diinisiasi.

20 Pengetahuan dan keahlian dilatih, dipelihara, dan


ditingkatkan pada level yang lebih tinggi serta
fungsi-fungsinya dipandang sebagai asset dan
kontributor utama dalam pencapaian sasaran TI
dan peningkatan layanan TI.

21 Pengelolaan masalah diintegrasikan dengan baik


pada proses yang saling berhubungan, seperti
insiden, perubahan, ketersediaan dan pengaturan
konfigurasi, dan membantu customer dalam
mengatur data, fasilitas, dan operasi.

65
Level No Pernyataan Ya Tidak

22 KPI dan KGI disepakati untuk proses pengaturan


masalah.

5 23 Proses pengelolaan masalah dilakukan dengan


cara proaktif disesuaikan dengan sasaran TI.
Optimised

24 Permasalahan telah diantisipasi dan dicegah.

25 Pengetahuan mengenai pola permasalahan yang


lalu dan yang akan datang dipelihara melalui
kontak reguler dengan vendor dan ahlinya.

26 Pencatatan, laporan, dan analisa masalah serta


resolusinya dilakukan secara otomatis dan
diintegrasikan dengan pengaturan konfigurasi
data.

27 KPI dan KGI diukur secara konsisten.

28 Sebagian besar sistem dilengkapi dengan


pendeteksi otomatis dan mekanisme peringatan,
yang dievaluasi secara berkelanjutan.

29 Proses pengelolaan masalah dianalisa untuk


peningkatan yang berkesinambungan berdasarkan
pada analisa KPI dan KGI dan dilaporkan pada
stakeholder.

66
67
DS11 Mengelola Data

Manajemen proses Mengelola data untuk memenuhi kebutuhan bisnis TI dalam


mengoptimalkan penggunaan informasi dan memastikan informasi tersebut tersedia
sesuai dengan yang dibutuhkan adalah:

Level No Pernyataan Ya Tidak

0 1 Data tidak dipandang sebagai sumber daya dan


asset perusahaan.
Non-existent

2 Tidak ada pemilikan data atau individu yang


akuntabilitas dalam pengelolaan data.

3 Kualitas dan keamanan data hampir tidak ada.

1 4 Organisasi memahami kebutuhan untuk


mengelola data yang akurat.
Initial/Ad
Hoc

5 Ada pendekatan ad hoc untuk menangani


kebutuhan keamanan bagi pengelolaan data,
tetapi belum ada komunikasi dan prosedur
formal.

6 Tidak terdapat pelatihan khusus mengenai


pengelolaan data.

7 Tanggung jawab untuk pengelolaan data tidak


jelas.

68
Level No Pernyataan Ya Tidak

8 Ada backup atau prosedur restorasi dan


pengaturan pembagian.

2 9 Kesadaran terhadap kebutuhan pengelolaan data


ada di seluruh organisasi.
Repeatable
but Intuitive

10 Kepemilikan data mulai ada pada tingkat tinggi.

11 Kebutuhan keamanan untuk pengelolaan data


didokumentasikan per individual.

12 Beberapa pengawasan terhadap TI dilakukan


pada kegiatan utama pengelolaan data (backup,
restorasi, dan pembagian).

13 Tanggung jawab untuk pengelolaan data belum


dilakukan secara formal pada staff TI.

3 14 Kebutuhan pengelolaan data dipahami dan


tindakan yang diperlukan diterima di seluruh
Defined organisasi.
Process

15 Tersedia tanggungjawab untuk pengelolaan data.

16 Kepemilikan data dilakukan oleh pihak yang


bertanggungjawab yang mengontrol integritas dan
keamanan.

69
Level No Pernyataan Ya Tidak

17 Kepemilikan data dilakukan dimana integritas


dan keamanannya dikontrol oleh pihak yang
bertanggungjawab.

18 Prosedur pengelolaan data TI telah diformalisasi,


peralatan untuk backup/restorasi telah digunakan.

19 Ada pengawasan terhadap pengelolaan data.

20 Matriks kinerja dasar telah ditentukan.

21 Dilakukan pelatihan bagi staff untuk pengelolaan


data.

4 22 Kebutuhan untuk pengelolaan data dipahami dan


tindakan yang diperlukan diterima di seluruh
Managed organisasi.
and
Measurable

23 Tanggung jawab kepemilikan dan pengelolaan


telah dijelaskan, dilakukan dan dikomunikasikan
di seluruh organisasi.

24 Prosedur yang ada telah baku dan pengetahuan


disebarluaskan.

25 Sudah menggunakan tools yang ada.

70
Level No Pernyataan Ya Tidak

26 Indikator kinerja dan tujuan disesuaikan dengan


customer dan prosesnya diawasi dengan baik

27 Ada pelatihan formal bagi staff untuk pengelolaan


data.

5 Optimised 28 Kebutuhan pengelolaan data dan pemahaman


seluruh tindakan yang diperlukan dimengerti dan
diterima di seluruh organisasi.

29 Kebutuhan yang akan datang digali dengan cara


proaktif.

30 Tanggung jawab untuk kepemilikan data dan


pengelolaan data telah ditetapkan, diketahui
secara luas di organisasi dan dimutakhirkan pada
jangka waktu tertentu.

31 Prosedur yang ada telah baku dan diketahui luas,


pembagian pengetahuan adalah pelatihan standar.

32 Tools untuk pengelolaan data maksimum


digunakan secara otomatis.

33 Indikator kinerja dan tujuan disepakati dengan


customer, disesuaikan dengan sasaran bisnis dan
diawasi secara konsisten.

71
Level No Pernyataan Ya Tidak

34 Kesempatan untuk peningkatan kemampuan


dieksplorasi secara konstan.

35 Pelatihan untuk staff pengelolaan data dilakukan.

72
ME1 Mengawasi dan mengevaluasi kinerja TI

Manajemen proses Mengawasi dan mengevaluasi kinerja TI untuk memenuhi


kebutuhan bisnis TI terhadap transparansi dan pemahaman atas biaya, manfaat,
strategi, kebijakan dan mutu layanan TI berkenaan dengan persyaratan pemerintah
adalah:

Level No Pernyataan Ya Tidak

0 1 Organisasi tidak melakukan pengawasan terhadap


proses.
Non-existent

2 TI tidak melakukan pengawasan terhadap proyek


dan proses-prosesnya.

3 Laporan yang akurat dan tepat waktu tidak


tersedia.

4 Kebutuhan untuk memahami sasaran proses tidak


dikenali.

1 5 Manajemen mengenali kebutuhan untuk


mengumpulkan informasi mengenai pengawasan
Initial/Ad terhadap proses.
Hoc

6 Pengumpulan dan proses penugasan standar tidak


diidentifikasikan.

7 Pengawasan dipilih dan dilakukan per kasus,


mengacu pada kebutuhan projek TI tertentu dan
prosesnya.

73
Level No Pernyataan Ya Tidak

8 Pengawasan umumnya dilakukan secara


mendadak jika ada insiden yang mengakibatkan
kerugian bagi organisasi.

9 Fungsi akuntansi mengawasi fungsi keuangan


dasar untuk TI.

2 Repeatable 10 Pengukuran dasar diawasi dan diidentifikasi.


but Intuitive

11 Ada pengumpulan dan metode penugasan, tetapi


prosesnya belum mengikuti keseluruhan
organisasi.

12 Interpretasi hasil pengawasan didasarkan pada


keahlian individu.

13 Tools terbatas dipilih dan diimplementasikan


dalam pengumpulan informasi, tetapi
pengumpulannya belum terencana.

3 Defined 14 Manajemen membicarakan dan melakukan proses


Process pengawasan standar.

15 Program pengawasan terhadap pelatihan telah


dilakukan.

16 Informasi kinerja secara historikal telah

74
Level No Pernyataan Ya Tidak

ditingkatkan.

17 Penugasan TI dilakukan secara individual dan


tingkat proyeknya tidak diintegrasikan dengan
proses-proses lain.

18 Tools untuk proses pengawasan TI dan pelayanan


telah ditetapkan.

19 Pengukuran fungsi-fungsi informasi pelayanan


telah ditetapkan dengan menggunakan kriteria
operasional dan keuangan lama.

20 Pengukuran kinerja untuk TI tertentu, pengukuran


non finansial, pengukuran strategis, pengukuran
kepuasan pelanggan, dan tingkat pelayanan telah
ditetapkan.

21 Kerangka kerja untuk pengukuran kinerja telah


ditetapkan.

4 22 Manajemen telah menetapkan dalam memberikan


toleransi terhadap proses-proses yang harus
Managed dilakukan.
and
Measurable

23 Laporan hasil pengawasan telah distandarisasi.

24 Ada integrasi diantara proyek TI dan seluruh


proses-prosesnya.

75
Level No Pernyataan Ya Tidak

25 Sistem laporan pengaturan organisasi TI


dilakukan secara formal.

26 Tools automasi diintegrasikan dan disesuaikan


dengan perkembangan organisasi untuk
mengumpulkan dan mengawasi informasi
operasional mengenai aplikasi, sistem, dan
proses.

27 Manajemen dapat mengevaluasi kinerja


berdasarkan kriteria yang telah disepakati dan
disetujui oleh stakeholder.

28 Pengukuran fungsi-fungsi TI disesuaikan dengan


tujuan perkembangan organisasi.

5 29 Proses peningkatan kualitas dilakukan untuk


mengawasi standar pengawasan terhadap
Optimised perkembangan organisasi dan kebijakannya
mengacu pada best practice industry.

30 Seluruh proses pengawasan dilakukan untuk


mendukung perkembangan organisasi.

31 Matriks sasaran bisnis secara rutin digunakan


untuk mengukur kinerja dan diintegrasikan pada
kerangka kerja penugasan strategis seperti
balance scorecard.

76
Level No Pernyataan Ya Tidak

32 Proses pengawasan sedang berjalan dan


dilakukan secara konsisten dengan rencana
peningkatan proses bisnis.

33 Benchmarking industri dan pesaing utama telah


diketahui dengan kriteria perbandingan yang
dipahami.

77
LAMPIRAN 3
KUESIONER ISI

KUESIONER ANALISA TINGKAT KEMATANGAN TATA KELOLA


TI

Evaluasi Tata Kelola TI pada sistem informasi SDN 3 Pangkalpinang

Kuesioner ini merupakan bagian dari penelitian mahasiswa Magister Komputer Universitas
Budi Luhur. Tujuan atas kuesioner ini adalah untuk dapat memperoleh opini serta pendapat
mengenai penerapan sistem informasi di SDN 3 Pangkalpinang.

Kuesioner ini dikembangkan dari standar pengelolaan Teknologi Informasi internacional


dengan menggunakan 15 kerangka kerja (framework) COBIT (Control Objective for
Information Technology). Oleh karena itu sangat diharapkan kerjasama dari Bapak/Ibu
dalam memberikan pendapat atas pernyataan-pernyataan yang ada dalam kuesioner ini.

Petunjuk Pengisian
Bacalah pernyataan kriteria dari tingkat kematangan dengan seksama, lalu berikan centang
(√) pada pilihan jawaban (Ya/Tidak) untuk setiap pernyataan yang diberikan.

78
Data Narasumber

Nama :

Jabatan :

Bagian :

79