PENGUKURAN-DRIVEN

Kebutuhan dasar setiap perusahaan adalah memahami status sistem TInya sendiri dan
menentukan tingkat pengelolaannya kontrol perusahaan harus menyediakan. Untuk
menentukan tingkat yang tepat, manajemen harus bertanya pada diri sendiri: Seberapa jauh
kita harus pergi, dan apakah biaya dibenarkan oleh keuntungan?
Mendapatkan pandangan objektif tentang tingkat kinerja perusahaan tidaklah mudah. Apa yang
harus diukur dan bagaimana? Usaha perlu untuk mengukur di mana mereka berada dan di
mana perbaikan diperlukan, dan menerapkan tool kit manajemen untuk memantau perbaikan
ini.
COBIT membahas masalah ini dengan menyediakan:
 Model kedewasaan untuk memungkinkan pembandingan dan identifikasi perbaikan
kemampuan yang diperlukan
 Kinerja tujuan dan metrik untuk proses TI, menunjukkan bagaimana proses memenuhi
tujuan bisnis dan TI dan digunakan untuk
 mengukur kinerja proses internal berdasarkan prinsip balanced scorecard
 Tujuan kegiatan untuk memungkinkan kinerja proses yang efektif

MODEL MATURITY
Manajer senior di perusahaan perusahaan dan publik semakin diminta untuk
mempertimbangkan seberapa baik TI dikelola. Menanggapi hal ini, kasus bisnis memerlukan
pengembangan untuk perbaikan dan mencapai tingkat pengelolaan dan pengendalian yang
tepat atas infrastruktur informasi. Sementara beberapa orang berpendapat bahwa ini bukan hal
yang baik, mereka perlu mempertimbangkan keseimbangan biaya dan manfaatnya. Apa yang
dilakukan rekan-rekan industri kita, dan bagaimana posisi kita dalam kaitannya dengan
mereka?
 Apa praktik bagus industri yang dapat diterima, dan bagaimana penempatannya
terhadap praktik-praktik ini?
 Berdasarkan perbandingan ini, bisakah kita dikatakan cukup melakukan?
 Bagaimana kita mengidentifikasi apa yang harus dilakukan untuk mencapai tingkat
pengelolaan dan pengendalian yang memadai atas proses TI kita?

Sulit untuk memberikan jawaban yang berarti atas pertanyaan-pertanyaan ini. Manajemen TI
terus-menerus mencari alat pembandingan dan penilaian mandiri untuk menanggapi kebutuhan
untuk mengetahui apa yang harus dilakukan dengan cara yang efisien. Mulai dari proses
COBIT, pemilik proses harus dapat melakukan benchmark secara bertahap terhadap tujuan
pengendalian tersebut. Ini merespons tiga kebutuhan:
1. Ukuran relatif dimana perusahaan itu berada
2. Cara untuk secara efisien memutuskan kemana harus pergi
3. Alat untuk mengukur kemajuan terhadap tujuan

Pemodelan kematangan untuk manajemen dan pengendalian atas proses TI didasarkan

pada metode evaluasi organisasi, sehingga dapat dinilai dari tingkat kematangan yang tidak
ada (0) sampai dioptimalkan (5). Pendekatan ini berasal dari model jatuh tempo yang
ditetapkan oleh Software Engineering Institute (SEI) untuk kematangan kemampuan
pengembangan perangkat lunak. Meskipun konsep pendekatan SEI diikuti, implementasi
COBIT sangat berbeda dengan SEI asli, yang berorientasi pada prinsip rekayasa produk
perangkat lunak, organisasi yang berusaha mencapai keunggulan di bidang ini dan penilaian
tingkat kematangan formal sehingga pengembang perangkat lunak dapat 'disertifikasi' . Dalam
COBIT, definisi generik disediakan untuk skala kematangan COBIT, yang serupa dengan CMM
namun ditafsirkan untuk sifat proses manajemen TI COBIT. Model spesifik disediakan dari skala
generik ini untuk setiap proses COBIT's 34. Apapun modelnya, timbangannya jangan terlalu
rinci, karena itu akan membuat sistem ini sulit digunakan dan menyarankan ketepatan yang
tidak dapat dibenarkan karena, secara umum, tujuannya adalah untuk mengidentifikasi di mana
masalah dan bagaimana menetapkan prioritas untuk perbaikan. Tujuannya bukan untuk menilai
tingkat kepatuhan terhadap tujuan pengendalian.

Tingkat kematangan dirancang sebagai profil proses TI yang akan dikenali perusahaan
sebagai deskripsi tentang keadaan terkini dan masa depan yang mungkin terjadi. Mereka tidak
dirancang untuk digunakan sebagai model ambang batas, di mana seseorang tidak dapat
beralih ke tingkat yang lebih tinggi berikutnya tanpa memenuhi semua kondisi tingkat bawah.
Dengan model kematangan COBIT, tidak seperti pendekatan CMI SEI yang asli, tidak ada niat
untuk mengukur tingkat secara tepat atau mencoba untuk mengesahkan bahwa tingkat telah
dipenuhi. Penilaian kedewasaan COBIT kemungkinan akan menghasilkan profil dimana kondisi
yang relevan dengan beberapa tingkat kematangan akan terpenuhi, seperti yang ditunjukkan
pada grafik contoh pada gambar 11.

Hal ini karena ketika menilai kedewasaan menggunakan model COBIT, akan sering terjadi
bahwa beberapa implementasi akan dilakukan pada tingkat yang berbeda bahkan jika tidak
lengkap atau memadai. Kekuatan ini dapat dibangun untuk lebih meningkatkan kedewasaan.
Sebagai contoh, beberapa bagian dari proses dapat didefinisikan dengan baik, dan, bahkan jika
tidak lengkap, akan menyesatkan untuk mengatakan bahwa proses tidak didefinisikan sama
sekali.

Dengan menggunakan model kematangan yang dikembangkan untuk setiap proses TI

COBIT di 34, manajemen dapat mengidentifikasi :
• Kinerja aktual perusahaan - Dimana perusahaan saat ini
• Status industri saat ini - Perbandingan
• Target perusahaan untuk perbaikan - Dimana perusahaan ingin menjadi
• Jalur pertumbuhan yang dibutuhkan antara 'as-is'and' to-be '

COBIT adalah framework yang dikembangkan untuk manajemen proses TI dengan fokus
yang kuat pada kontrol. Skala ini perlu praktis untuk diterapkan dan cukup mudah dimengerti.
Topik pengelolaan proses TI secara inheren kompleks dan subjektif dan oleh karena itu,
pendekatan terbaik didekati melalui penilaian yang difasilitasi yang meningkatkan kesadaran,
menangkap konsensus yang luas dan memotivasi peningkatan. Penilaian ini dapat dilakukan
baik terhadap deskripsi tingkat kedewasaan secara keseluruhan atau dengan kekakuan yang
lebih ketat terhadap setiap pernyataan individual dari deskripsi. Either way, keahlian dalam
proses perusahaan yang sedang ditinjau diperlukan.

Keuntungan dari pendekatan model jatuh tempo adalah relatif mudah bagi manajemen
untuk menempatkan dirinya pada skala dan menghargai apa yang terlibat jika diperlukan
peningkatan kinerja. Skala ini mencakup 0 karena sangat mungkin tidak ada proses sama
sekali. Skala 0-5 didasarkan pada skala kematangan sederhana yang menunjukkan bagaimana
sebuah proses berkembang dari kemampuan yang tidak ada hingga kemampuan yang optimal.

Namun, kemampuan manajemen proses tidak sama dengan kinerja proses. Kemampuan
yang dibutuhkan, sebagaimana ditentukan oleh sasaran bisnis dan TI, mungkin tidak perlu
diterapkan pada tingkat yang sama di seluruh lingkungan TI, misalnya, tidak konsisten atau
hanya sejumlah sistem atau unit terbatas. Pengukuran kinerja, sebagaimana tercakup dalam
paragraf berikut, sangat penting dalam menentukan kinerja aktual perusahaan untuk proses TI-
nya.
 Meskipun kemampuan yang diterapkan dengan tepat telah mengurangi risiko, perusahaan
masih perlu menganalisis pengendalian yang diperlukan untuk memastikan bahwa risiko
dimitigasi dan nilai diperoleh sesuai dengan selera risiko dan tujuan bisnis. Kontrol ini dipandu
oleh tujuan pengendalian COBIT. Lampiran III memberikan model kematangan pada
pengendalian internal yang menggambarkan kematangan perusahaan relatif terhadap
pembentukan dan kinerja pengendalian internal. Seringkali analisis ini dimulai sebagai
tanggapan terhadap driver eksternal, namun idealnya harus dilembagakan seperti yang
didokumentasikan oleh proses COBIT PO6 Komunikasikan tujuan dan arahan manajemen dan
ME2 Memantau dan mengevaluasi pengendalian internal.

Model kematangan adalah cara untuk mengukur seberapa baik proses manajemen yang
dikembangkan, yaitu, bagaimana mereka sebenarnya. Seberapa baik pengembangan atau
kemampuan mereka harus terutama bergantung pada sasaran TI dan kebutuhan bisnis yang
mendasarinya mereka dukung. Berapa banyak kemampuan yang benar-benar digunakan
sebagian besar tergantung pada pengembalian yang diinginkan perusahaan dari investasi
tersebut. Misalnya, akan ada proses dan sistem kritis yang membutuhkan manajemen
keamanan lebih ketat dan lebih ketat daripada yang lainnya yang kurang kritis. Di sisi lain,
tingkat dan kecanggihan kontrol yang perlu diterapkan dalam suatu proses lebih didorong oleh
risk appetite perusahaan dan persyaratan kepatuhan yang berlaku.

Skala model kematangan akan membantu para profesional menjelaskan kepada manajer di
mana kekurangan manajemen proses TI ada dan menetapkan target untuk tujuan yang mereka
inginkan. Tingkat jatuh tempo yang tepat akan dipengaruhi oleh tujuan bisnis perusahaan,
lingkungan operasi dan praktik industri. Secara khusus, tingkat kedewasaan manajemen akan
bergantung pada ketergantungan perusahaan terhadap TI, kecanggihan teknologinya dan, yang
terpenting, nilai informasinya.

Titik acuan strategis bagi perusahaan untuk memperbaiki manajemen dan pengendalian
proses TI dapat ditemukan dengan melihat standar internasional yang muncul dan praktik
terbaik di kelasnya. Praktik yang muncul hari ini dapat menjadi tingkat kinerja besok yang
diharapkan, dan oleh karena itu, berguna untuk perencanaan di mana perusahaan
menginginkannya dari waktu ke waktu.
Model kematangan dibangun mulai dari model kualitatif generik (lihat gambar 13) dimana asas
dari atribut berikut ditambahkan secara meningkat melalui level :
  Kesadaran dan komunikasi
 Kebijakan, rencana dan prosedur
 Alat dan otomasi
 Keterampilan dan keahlian
 Tanggung jawab dan akuntabilitas
 Penentuan tujuan dan pengukuran

Tabel atribut kematangan yang ditunjukkan pada gambar 15 mencantumkan karakteristik

bagaimana proses TI dikelola dan menjelaskan bagaimana mereka berevolusi dari proses yang
tidak ada ke proses yang optimal. Atribut ini dapat digunakan untuk penilaian yang lebih
komprehensif, analisis kesenjangan dan perencanaan perbaikan.

Singkatnya, model kematangan memberikan profil generik tahap dimana perusahaan

berkembang untuk pengelolaan dan pengendalian proses TI. Mereka adalah :
 Satu set persyaratan dan aspek yang memungkinkan pada tingkat kematangan yang
berbeda
 Skala dimana perbedaan dapat diukur dengan mudah
 Skala yang sesuai dengan perbandingan pragmatis
 Dasar untuk menetapkan apa adanya dan - posisi
 Dukungan untuk analisis kesenjangan untuk menentukan apa yang perlu dilakukan
untuk mencapai tingkat yang dipilih
 Secara bersamaan, pandangan tentang bagaimana TI dikelola di perusahaan

Model kedewasaan COBIT fokus pada kedewasaan, namun tidak harus pada cakupan dan
kedalaman kontrol. Mereka bukanlah jumlah yang harus diupayakan, dan juga tidak dirancang
untuk menjadi basis formal untuk sertifikasi dengan tingkat diskrit yang menciptakan ambang
batas yang sulit untuk dilewati. Namun, mereka dirancang agar selalu berlaku, dengan tingkat
yang memberikan deskripsi yang dapat dikenali perusahaan sebaik prosesnya. Tingkat yang
tepat ditentukan oleh jenis perusahaan, lingkungan dan strategi.

Cakupan, kedalaman kontrol, dan bagaimana kemampuan yang digunakan dan digunakan
adalah keputusan biaya-manfaat. Misalnya, tingkat tinggi manajemen keamanan mungkin harus
difokuskan hanya pada sistem perusahaan yang paling kritis. Contoh lain adalah pilihan antara
ulasan manual mingguan dan kontrol otomatis terus-menerus.
 Akhirnya, sementara tingkat kematangan yang lebih tinggi meningkatkan kontrol atas
proses tersebut, perusahaan masih perlu melakukan analisis, berdasarkan pada faktor risiko
dan nilai, yang mekanisme kontrolnya harus diterapkan. Tujuan bisnis dan TI generik yang
didefinisikan dalam kerangka ini akan membantu analisis ini. Mekanisme kontrol dipandu oleh
tujuan pengendalian COBIT dan fokus pada apa yang dilakukan dalam proses; Model jatuh
tempo terutama berfokus pada seberapa baik sebuah proses dikelola. Lampiran III memberikan
model kematangan umum yang menunjukkan status lingkungan pengendalian internal dan
pembentukan pengendalian internal di perusahaan.

Lingkungan pengendalian yang benar dicapai bila ketiga aspek kedewasaan (kemampuan,
cakupan dan pengendalian) telah ditangani. Meningkatkan kedewasaan mengurangi risiko dan
meningkatkan efisiensi, menyebabkan lebih sedikit kesalahan, proses yang lebih dapat
diprediksi dan penggunaan sumber daya yang hemat biaya.

PENGUKURAN KINERJA
Tujuan dan metrik didefinisikan dalam COBIT pada tiga tingkat :
 Tujuan dan metrik TI yang menentukan apa yang diharapkan bisnis dari TI dan
bagaimana cara mengukurnya
 Menentukan sasaran dan metrik yang menentukan apa yang harus disampaikan oleh
proses TI untuk mendukung tujuan dan bagaimana TI untuk mengukurnya
 Tujuan kegiatan dan metrik yang menetapkan apa yang perlu terjadi dalam proses untuk
mencapai kinerja yang dibutuhkan dan bagaimana cara mengukurnya