COBIT 5 Enabling Process

Machine Translated by Google
Mengaktifkan Proses
Salinan Pribadi: Tuan Dong Hong Wang

: MENGAKTIFKAN PROSES
ISACA®
Dengan 95.000 konstituen di 160 negara, ISACA (www.isaca.org) adalah penyedia global terkemuka untuk pengetahuan,
sertifikasi, komunitas, advokasi dan pendidikan tentang jaminan dan keamanan sistem informasi (IS), tata kelola perusahaan dan
manajemen TI, dan TI- risiko dan kepatuhan terkait. Didirikan pada tahun 1969, ISACA independen dan nirlaba menyelenggarakan
konferensi internasional, menerbitkan Jurnal ISACA® , dan mengembangkan standar audit dan kontrol IS internasional, yang membantu
konstituennya memastikan kepercayaan, dan nilai dari, sistem informasi. Ini juga memajukan dan membuktikan keterampilan dan
pengetahuan TI melalui Certified Information Systems Auditor® (CISA®) yang dihormati secara global, Certified Information Security
Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) dan Certified in Risk and Penunjukan Sistem Informasi
ControlTM (CRISCTM) . ISACA terus memperbarui COBIT®, yang membantu para profesional TI dan pemimpin perusahaan memenuhi
tanggung jawab tata kelola dan manajemen TI mereka, terutama di bidang jaminan, keamanan, risiko dan kontrol, serta memberikan nilai
bagi bisnis.
Penafian
ISACA telah merancang publikasi ini, COBIT® 5: Proses Pengaktifan ('Pekerjaan'), terutama sebagai sumber daya pendidikan untuk tata
kelola TI perusahaan (GEIT), profesional jaminan, risiko, dan keamanan. ISACA tidak mengklaim bahwa penggunaan Karya mana pun
akan menjamin hasil yang sukses. Pekerjaan tidak boleh dianggap mencakup semua informasi, prosedur, dan pengujian yang tepat atau
tidak termasuk informasi, prosedur, dan pengujian lain yang secara wajar diarahkan untuk memperoleh hasil yang sama. Dalam menentukan
kepatutan informasi, prosedur atau pengujian tertentu, pembaca harus menerapkan penilaian profesional mereka sendiri terhadap GEIT,
jaminan, risiko, dan keadaan keamanan tertentu yang disajikan oleh sistem atau lingkungan teknologi informasi tertentu.
hak cipta
© 2012 ISACA. Seluruh hak cipta. Untuk panduan penggunaan, lihat www.isaca.org/ COBITuse.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 AS
Telepon: +1.847.253.1545
Faks: +1.847.253.1443
Email: info@isaca.org
Situs web: www.isaca.org
Umpan balik: www.isaca.org/ cobit

Berpartisipasi dalam Pusat Pengetahuan ISACA: www.isaca.org/ knowledge-center
Ikuti ISACA di Twitter: https:// twitter.com/ ISACANews
Bergabunglah dengan percakapan COBIT di Twitter: #COBIT
Bergabunglah dengan ISACA di LinkedIn: ISACA (Resmi), http:// linkd.in/ ISACAOfficial
Suka ISACA di Facebook: www.facebook.com/ ISACAHQ
COBIT® 5: Mengaktifkan Proses

ISBN 978-1-60420-241-0
Dicetak di Amerika Serikat
2 Salinan Pribadi: Tuan Dong Hong Wang

UCAPAN TERIMA KASIH
UCAPAN TERIMA KASIH

ISACA ingin mengakui:
Gugus Tugas COBIT 5 (2009-2011)

John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, AS, Wakil Ketua Derek
J. Oliver, Ph.D., CISA, CISM, CRISC, CITP, DBA, FBCS, FISM, MInstISP,
Ravenswood Consultants Ltd., Inggris, Ketua
bersama Pippa G. Andrews, CISA, ACA, CIA, KPMG,
Australia Elisabeth Judit Antonsson, CISM, Nordea Bank,
Swedia Steven A. Babb, CGEIT, CRISC, Betfair, Inggris
Steven De Haes, Ph.D., University of Antwerp Management School, Belgia Peter
Harrison, CGEIT, FCPA, IBM Australia Ltd., Australia Jimmy Heschl, CISA, CISM,
CGEIT, ITIL Expert, bwin.party digital entertainment plc, Austria Robert D. Johnson, CISA, CISM,
CGEIT, CRISC, CISSP, Bank of America, USA Erik HJM Pols, CISA, CISM, Shell International-ITCI,
Belanda Vernon Richard Poole, CISM, CGEIT, Sapphire, UK Abdul Rafeq, CISA, CGEIT, CIA, FCA,
A. Rafeq and Associates, India
Tim pengembangan
Floris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Belgia
Gert du Preez, CGEIT, PwC, Kanada
Stefanie Grijp, PwC, Belgia
Gary Hardy, CGEIT, Pemenang IT, Afrika Selatan
Bart Peeters, PwC, Belgia
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgia
Peserta Lokakarya Gary

Baker, CGEIT, CA, Kanada Brian
Barnier, CGEIT, CRISC, ValueBridge Advisors, AS Johannes
Hendrik Botha, MBCS-CITP, FSM, getITright Skills Development, Afrika Selatan Ken Buechler,
CGEIT, CRISC, PMP, Great-West Life , Kanada Don Caniglia, CISA, CISM, CGEIT, FLMI,
USA Mark Chaplin, UK Roger Debreceny, Ph.D., CGEIT, FCPA, Universitas Hawaii di Manoa,
AS Mike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, USA Urs
Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Swiss Bob
Frelinger, CISA, CGEIT, Oracle Corporation, USA James Golden, CISM, CGEIT, CRISC,
CISSP, IBM, AS Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, AS Gary
Langham, CISA, CISM, CGEIT, CISSP, CPFA, Australia Nicole Lanza, CGEIT, IBM, AS Philip Le
Grand, PRINCE2, Ideagen Plc, Inggris Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente
IT, AS Stuart MacGregor, Real IRM Solutions (Pty) Ltd., Afrika Selatan Christian Nissen, CISM,
CGEIT, FSM, CFN People, Denmark Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, UK Eddy
J. Schuermans, CGEIT, ESRAS bvba, Belgia Michael Semrau, RWE Jerman, Jerman Max
Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australia Alan Simmonds,
TOGAF9, TCSA, PreterLex, Inggris Cathie Skoog, CISM, CGEIT, CRISC, IBM, USA Dejan Slokar,
CISA, CGEIT, CISSP, Deloitte & Touche LLP, Kanada Roger Southgate, CISA, CISM, Inggris
Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, AS Wim Van Grembergen, Ph.D., Sekolah
Manajemen Universitas Antwerpen, Belgia Menyapa Volders, CGEIT, Voquals NV, Belgia
Christopher Wilken, CISA, CGEIT, PwC, AS Tim M. Wright, CISA , CRISC, CBCI, GSEC, QSA,
Kingston Smith Consulting LLP, Inggris
3
UCAPAN TERIMA KASIH (Lanjutan)

Peninjau Ahli
Mark Adler, CISA, CISM, CGEIT, CRISC, Perusahaan Logam Komersial, USA
Wole Akpose, Ph.D., CGEIT, CISSP, Universitas Negeri Morgan, AS Krzysztof
Baczkiewicz, CSAM, CSOX, Eracent, Polandia Roland Bah, CISA, MTN
Kamerun, Kamerun Dave Barnett, CISSP, CSSLP, USA Max Blecher, CGEIT,
Aliansi Virtual, Afrika Selatan Ricardo Bria, CISA, CGEIT, CRISC, Meycor
GRC, Argentina Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG
Advisory , Belgia Donna Cardall, Debra Chiplin Inggris, Grup Investor, Kanada
Sara Cosentino, CA, Great-West Life, Kanada Kamal N. Dave, CISA, CISM, CGEIT,
Hewlett Packard, AS Philip de Picker, CISA, MCA, National Bank of Belgia, Belgia
Abe Deleon, CISA, IBM, AS Stephen Doyle, CISA, CGEIT, Departemen Layanan
Kemanusiaan, Australia Heidi L. Erchinger, CISA, CRISC, CISSP, System Security
Solutions, Inc., AS Rafael Fabius, CISA, CRISC, Uruguay Urs Fischer, CISA,
CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, Swiss Bob Frelinger,
CISA, CGEIT, Orac le Corporation, AS Yalcin Gerek, CISA, CGEIT, CRISC, Ahli
ITIL, Pelatih ITIL V3, PRINCE2, Konsultan ISO/IEC 20000, Turki Edson Gin, CISA,
CISM, CFE, CIPP, SSCP, AS James Golden, CISM, CGEIT, CRISC, CISSP, IBM,
USA Marcelo Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentina,
Argentina Erik Guldentops, University of Antwerp Management School, Belgia Meenu Gupta,
CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, USA Angelica Haverblad , CGEIT,
CRISC, ITIL, Verizon Business, Swedia Kim Haverblad, CISM, CRISC, PCI QSA, Verizon Business, Swedia J.
Winston Hayden, CISA, CISM, CGEIT, CRISC, Afrika Selatan Eduardo Hernandez, ITIL V3, HEME Consultores,
Meksiko Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Argentina Michelle Hoben, Media 24, Afrika
Selatan Linda Horosko, Great-West Life, Kanada Mike Hughes, CISA, CGEIT, CRISC, 123 Consultants, UK
Grant Irvine, Great-West Life, Kanada Monica Jain, CGEIT, CSQA, CSSBB , Southern California Edison, AS
John E. Jasinski, CISA, CGEIT, SSBB, ITIL Expert, AS Masatoshi Kajimoto, CISA, CRISC, Jepang Joanna
Karczewska, CISA, Polandia Kamal Khan, CISA, CISSP, CITP, Saudi Aramco, Arab Saudi Eddy Khoo SK,
Prudential Services Asia, Malaysia Marty King, CISA, CGEIT, CPA, Blue Cross Blue Shield NC, AS Alan S. Koch,
Ahli ITIL, PMP, ASK Process Inc., AS Gary Langham, CISA, CISM, CGEIT, CISSP , CPFA, Australia Jason D.
Lannen, CISA, CISM, TurnKey IT Solutions, LLC, AS Nicole Lanza, CGEIT, IBM, AS Philip Le Grand, PRINCE2,
Ideagen Plc, Inggris Kenny Lee, CISA, CISM, CISSP, Bank of America , AS Brian Lind, CISA, CISM, CRISC,
Topdanmark Forsikring A/S, Denmark Bjarne Lonberg, CISSP, ITIL, AP Moller - Maersk, Denmark Stuart
MacGregor, Solusi IRM Nyata (Pty) Ltd., Afrika Selatan Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente
IT, USA Charles Mansour, CISA, Charles Mansour Audit & Risk Service, UK Cindy Marcello, CISA, CPA, FLMI,
Great-West Life & Annuity , AS Nancy McCuaig, CISSP, Great-West Life, Kanada John A. Mitchell, Ph.D., CISA,
CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QICA, LHS Business Control, UK Makoto Miyazaki, CISA, CPA , Bank
of Tokyo-Mitsubishi, UFJ Ltd., Jepang

UCAPAN TERIMA KASIH

Peninjau Ahli (lanjutan)
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Konsultan Independen, Kolombia
Christian Nissen, CISM, CGEIT, FSM, Ahli ITIL, CFN People, Denmark Tony Noblett, CISA,
CISM, CGEIT, CISSP, USA Ernest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC,
AS Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, Inggris Tom Patterson, CISA, CGEIT,
CRISC, CPA, IBM, AS Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Konsultasi Strategi
Bintang, Afrika Selatan Andy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc,
Inggris Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria
de Informatica Ltd., Brasil Geert Poels, Universitas Ghent , Belgia Dirk Reimers, Hewlett-Packard,
Jerman Steve Reznik, CISA, ADP, Inc., AS Robert Riley, CISSP, Universitas Notre Dame, AS Martin Rosenberg, Ph.D.,
Cloud Governance Ltd., UK Claus Rosenquist, CISA , CISSP, Nets Holding, Denmark Jeffrey Roth, CISA, CGEIT,
CISSP, L-3 Communications, AS Cheryl Santor, CISSP, CNA, CNE, Metropolitan Wate r Distrik, AS Eddy J. Schuermans,
CGEIT, ESRAS bvba, Belgia Michael Semrau, RWE Jerman, Jerman Max Shanahan, CISA, CGEIT, FCPA, Max
Shanahan & Associates, Australia Alan Simmonds, TOGAF9, TCSA, PreterLex, Inggris Dejan Slokar, CISA, CGEIT,
CISSP, Deloitte & Touche LLP, Kanada Jennifer Smith, CISA, CIA, Komunitas Indian Pima Maricopa Sungai Garam, AS
Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australia, Australia Roger Southgate , CISA,
CISM, Inggris Mark Stacey, CISA, FCA, BG Group Plc, Inggris Karen Stafford Gustin, MLIS, Perusahaan Asuransi Jiwa
London, Kanada Delton Sylvester, Konsultan Tata Kelola TI Silver Star, Afrika Selatan Katalin Szenes, CISA, CISM,
CGEIT, CISSP, Universitas Obuda, Hongaria Halina Tabacek, CGEIT, Oracle Americas, AS Nancy Thompson, CISA,
CISM, CGEIT, IBM, AS Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Jepang Johan van Grieken,
CISA , CGEIT, CRISC, Deloitte, Belgia Flip van Schalkwyk, Pusat Inovasi Elektronik, Pemerintah Cape Barat, Afrika
Selatan Jinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, Kanada Andre Viviers, MCSE, IT Project+, Media 24,
Afrika Selatan Greet Volders, CGEIT, Voquals NV, Belgia David Williams, CISA, Westpac, Tim Selandia Baru M. Wright,
CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, UK Amanda Xu, PMP, Southern California Edison,
AS Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, Afrika Selatan
Dewan Direksi ISACA

Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (pensiunan), AS, Presiden Internasional
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT SA, Yunani, Wakil Presiden
Gregory T. Grocholski, CISA, The Dow Chemical Co., AS, Wakil Presiden Tony Hayes, CGEIT,
AFCHSE, CHE, FACS, FCPA, FIIA, Pemerintah Queensland, Australia, Wakil Presiden Niraj Kapasi, CISA,
Kapasi Bangad Tech Consulting Pvt. Ltd., India, Wakil Presiden Jeff Spivey, CRISC, CPP, PSP, Manajemen
Risiko Keamanan, Inc., AS, Wakil Presiden Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM
Bird Cameron, Australia, Wakil Presiden Emil D'Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd.
(pensiun), AS, Presiden Internasional Sebelumnya Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA,
KPMG Ltd., Federasi Rusia, Sebelumnya Presiden Internasional Allan Neville Boardman, CISA, CISM, CGEIT, CRISC,
CA (SA), CISSP, Morgan Stanley, Inggris, Direktur Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgia,
Direktur
Salinan Pribadi: Tuan Dong Hong Wang 5


Dewan Pengetahuan
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgia, Ketua Michael
A. Berardi Jr., CISA, CGEIT, Bank of America, AS John Ho Chi, CISA, CISM,
CRISC, CBCP , CFE, Ernst & Young LLP, Singapura Phillip J. Lageschulte, CGEIT,
CPA, KPMG LLP, AS Jon Singleton, CISA, FCA, Auditor Jenderal Manitoba
(pensiunan), Kanada Patrick Stachtchenko, CISA, CGEIT, Stachtchenko &
Associates SAS, Perancis
Kerangka Komite (2009-2012)

Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Prancis, Ketua
Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Sekolah Ekonomi dan Manajemen Solvay Brussels,
Belgia, Mantan Wakil Presiden
Steven A. Babb, CGEIT, CRISC, Betfair, UK
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapura
Sergio Fleginsky, CISA, Akzo Nobel, Uruguay John W.
Lainhart, IV, CISA, CISM, CGEIT, CRISC, Layanan Bisnis Global IBM, AS Mario C. Micallef,
CGEIT, CPAA, FIA, Malta Anthony P. Noble, CISA, CCP, Viacom, AS Derek J. Oliver, Ph.D.,
CISA, CISM, CRISC, CITP, DBA, FBCS, FISM, Ravenswood Consultants Ltd., Inggris Robert
G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (pensiun), Kanada Rolf M. von Roessing, CISA, CISM,
CGEIT, CISSP, FBCI, Forfa, AG, Jerman Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird
Cameron, Australia Robert E. Stroud, CGEIT, CA Inc., AS
ISACA dan IT Governance Institute® (ITGI®) Afiliasi dan Sponsor

American Institute of Certified Public Accountants Commonwealth Association
for Corporate Governance Inc.
FIDA
Menginformasikan Forum
Keamanan Informasi Institut Akuntan Manajemen Inc.
ISACA chapter
ITGI Prancis
ITGI Jepang
Norwich University
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) dari National University of Singapore
University of Antwerp Management School
Perusahaan GRC Solutions Inc.

Hewlett Packard
IBM
Symantec Corp.

DAFTAR ISI
DAFTAR ISI
Daftar Gambar ................................................................... ................................................................... ................................................................... ....................... 9
Bab 1. Pendahuluan ............................................................ ................................................................... ................................................................... ............. 11
Bab 2. Kaskade dan Metrik Sasaran untuk Sasaran Perusahaan dan Sasaran terkait TI .................................. ............... 13 COBIT 5 Goals
Cascade ............................... ................................................................... ................................................................... ......................... 13 Langkah 1. Penggerak
Pemangku Kepentingan Mempengaruhi Kebutuhan Pemangku Kepentingan ............ ................................................................... .................................13
Langkah 2. Kebutuhan Pemangku Kepentingan Bertahap ke Tujuan Perusahaan ............. ................................................................... .................................13
Langkah 3. Tujuan Perusahaan Bertingkat ke Tujuan terkait TI ...... ................................................................... .................................................15
Langkah 4. Terkait TI Tujuan Kaskade ke Tujuan Pemberdaya.................................................. ................................................................... .........15
Menggunakan Cascade Tujuan COBIT 5 .................................. .. ................................................................... ................................................................... ... 15
Manfaat Cascade Tujuan COBIT 5 .................................................. ................................................................... ...................................15
Menggunakan Cascade Tujuan COBIT 5 dengan Hati-hati .................................................. ................................................................... ..................16
Menggunakan COBIT 5 Goals Cascade dalam Praktek ......................... ................................................................... ...................................16
Metrik ............ ................................................................... ................................................................... ................................................................... ........................
16 Metrik Sasaran Perusahaan ........................ ................................................................... ................................................................... .......................16
Metrik Sasaran terkait TI ........................ ................................................................... ................................................................... .........................17
Bab 3. Model Proses COBIT 5 ........................................ ................................................................... ........................................ 19 Manajemen Kinerja

Pemberdaya ........ ................................................................... ................................................................... .................................. 21
Bab 4. Model Referensi Proses COBIT 5 ......................................... ................................................................... ......................... 23 Proses Tata Kelola dan
Manajemen ......................... ................................................................... ................................................................... ..... 23
Model ................................................................. ................................................................... ................................................................... ................................................... 23
Bab 5. COBIT 5 Proses Referensi Panduan Isi ......................................... ................................................................... ........... 25 Input dan
Output ........................................ ................................................................... ................................................................... ............................... 25 Panduan
Umum untuk Proses .............. ................................................................... ................................................................... .................................. 27 Evaluasi,
Langsung dan Monitor (EDM) .............. ................................................................... ................................................................... .................29 Align, Plan
and Organize (APO) ........................ ................................................................... ................................................................... ............49 Build, Acquire
and Implement (BAI) ............................. ................................................................... ........................ ........................117 Deliver, Service and Support
(DSS) .............. ................................................................... ................................................................... ............171 Memantau, Mengevaluasi, dan
Menilai (MEA) ............................. ................................................................... ...................................................201
Lampiran A. Pemetaan Antara COBIT 5 dan Kerangka ISACA Legacy ......................................... ............................ 217
Lampiran B. Pemetaan Detil Tujuan Perusahaan—Tujuan Terkait TI .................................................. ........................................ 225
Lampiran C. Pemetaan Rinci Tujuan terkait TI—Proses terkait TI .................................. ..................................... 227
7
Halaman sengaja dikosongkan

DAFTAR GAMBAR
DAFTAR GAMBAR
Gambar 1—Kelompok Produk COBIT 5 .................................................. ................................................................... .................................................11

Gambar 2—Tujuan Tata Kelola: Penciptaan Nilai ......................................... ................................................................... ....................13 Gambar
3-COBIT 5 Ikhtisar Kaskade Sasaran .............................. ................................................................... ................................................................... ....14
Gambar 4—COBIT 5 Enterprise Goals ............................................ ................................................................... ...................................................................
.14 Gambar 5— Tujuan terkait TI......................................... ................................................................... ................................................................... .................15
Gambar 6—Metrik Sampel Sasaran Perusahaan ......................... ................................................................... ............... ........................................16
Gambar 7—Contoh Sasaran terkait TI Metrik ................................................... ................................................................... ................................17
Gambar 8—COBIT 5 Enabler: Proses ......... ................................................................... ................................................................... ..........................19
Gambar 9—COBIT 5 Bidang Kunci Tata Kelola dan Manajemen ............. ................................................................... ...................................23
Gambar 10—COBIT 5 Model Referensi Proses ...... ................................................................... ................................................................... ................24
Gambar 11—Keluaran .............................. ................................................................... ................................................................... ........................................26
Gambar 12—COBIT 4.1 Kontrol Proses dan Terkait Atribut Kemampuan Proses ISO/IEC 15504 .... ..................................27 Gambar 13—
Kerangka ISACA Termasuk dalam COBIT 5.......... ................................................................... .................................................217 Gambar 14—
COBIT 4.1 Tujuan Kontrol yang Dipetakan ke COBIT 5 .................................................. ................................................................... ...217 Gambar
15—Praktik Manajemen Utama Val IT 2.0 yang Dicakup oleh COBIT 5 .................................. ..................................................222 Gambar 16—
Risiko Praktik Manajemen Kunci TI yang Dicakup oleh COBIT 5 ........................................ ..................................224 Gambar 17—Memetakan
Tujuan Perusahaan COBIT 5 ke Tujuan terkait TI .................................................................. ........................................226 Gambar 18—Memetakan
COBIT 5 Tujuan terkait TI ke Proses ................................................... ................................................................... 227


BAB 1
PENGANTAR
BAB 1
PENGANTAR
COBIT 5: Proses Pengaktifan melengkapi COBIT 5 (gambar 1). Publikasi ini berisi panduan referensi rinci untuk proses yang didefinisikan dalam model
referensi proses COBIT 5.
Gambar 1—Keluarga Produk COBIT 5
COBIT® 5
Panduan Pengaktif COBIT 5
COBIT® 5:
COBIT® 5: Pengaktif lainnya
Mengaktifkan Proses Panduan
Mengaktifkan Informasi
COBIT 5 Panduan Profesional
COBIT® 5
COBIT® 5 COBIT® 5 Profesional lainnya
Implementasi COBIT® 5 untuk Informasi
untuk Jaminan untuk Risiko Panduan
Keamanan
Lingkungan Kolaborasi Online COBIT5
Kerangka kerja COBIT 5 dibangun di atas lima prinsip dasar, yang dibahas secara rinci, dan mencakup panduan ekstensif tentang enabler untuk tata kelola
dan manajemen TI perusahaan.
Keluarga produk COBIT 5 mencakup produk-produk berikut:

s#/")4 THEFRAMEWORKs#/")4
ENABLERGUIDESINWHICHGOVERNANCEANDMANAGEMENTENABLERSAREDDISCUSEDINDETAIL 4HESEINCLUDE – COBIT 5:
Mengaktifkan Proses
– COBIT 5: Mengaktifkan Informasi (dalam pengembangan)
– Panduan pengaktif lainnya (lihat www.isaca.org/ cobit)
s#/")4 PROFESSIONALGUIDESWHICHINCLUDE – COBIT
5 Implementasi
– COBIT 5 untuk Keamanan Informasi (dalam pengembangan)
– COBIT 5 untuk Assurance (dalam pengembangan)
– COBIT 5 untuk Risiko (dalam pengembangan)
– Pemandu profesional lainnya (lihat www.isaca.org/ cobit)
s!KOLABORASIONLINELINGKUNGAN YANG AKAN TERSEDIA UNTUK MENDUKUNG PENGGUNAAN#/")4
Publikasi ini disusun sebagai berikut:

s)BAB THE#/")4 GOALSCASCADE JUGA DIJELASKAN#/")4 KERANGKA KERJA DIREKAPITULASIDAN
dilengkapi dengan serangkaian contoh metrik untuk tujuan perusahaan dan tujuan terkait TI.
s)BAB THE#/")4 PROSESMODELISDIJELASKANDAN KOMPONEN YANG DITENTUKAN 4BAB NYAMENJELASKAN APA
informasi termasuk dalam bagian informasi proses rinci. Model proses COBIT 5 mencakup 37 proses tata kelola dan manajemen; rangkaian proses ini
adalah penerus proses COBIT 4.1, Val IT dan Risk IT, dan mencakup semua proses yang diperlukan untuk penanganan tata kelola dan manajemen TI
perusahaan secara menyeluruh.
s#HAPTER SHOWSTHEDIAGRAMOFTPROCESSREFERENCEMODEL YANG DIKEMBANGKAN BERDASARKAN PRAKTEK TERBAIK
standar dan pendapat para ahli. Penting untuk dipahami bahwa model dan isinya bersifat umum dan tidak menentukan, dan harus disesuaikan agar
sesuai dengan perusahaan. Juga, panduan mendefinisikan praktik dan kegiatan pada tingkat yang relatif tinggi dan tidak menjelaskan bagaimana
prosedur proses harus didefinisikan.
s#HAPTER THEMAINSECTIONINTHISPUBLICATION CONTAINTHEDETAILEDPROCESSINFORMATIONFORALL #/")4 proses dalam model
referensi proses.
s!NUMBEROFAPPENDICESAREALSOINCLUDED –
Lampiran A berisi pemetaan antara proses COBIT 4.1, Val IT 2.0 dan Risk IT (dan tujuan pengendalian atau praktik manajemennya) dan COBIT 5 yang
setara.
– Lampiran B dan C berisi tabel pemetaan dari kaskade tujuan, yaitu, memetakan tujuan perusahaan ke tujuan terkait TI dan tujuan terkait TI ke
proses.


BAB 2. RASKADE DAN METRIK TUJUAN
UNTUK TUJUAN PERUSAHAAN DAN TUJUAN TERKAIT TI
BAB 2
RASKADE DAN METRIK TUJUAN
UNTUK TUJUAN PERUSAHAAN DAN TUJUAN TERKAIT TI
Kaskade Gol COBIT 5

Perusahaan ada untuk menciptakan nilai bagi pemangku kepentingan mereka. Akibatnya, setiap perusahaan—komersial atau tidak—akan memiliki penciptaan
nilai sebagai tujuan tata kelola. Penciptaan nilai berarti mewujudkan manfaat dengan biaya sumber daya yang optimal sambil mengoptimalkan risiko. (Lihat
gambar 2.) Manfaat dapat mengambil banyak bentuk, misalnya, keuangan untuk perusahaan komersial atau layanan publik untuk badan pemerintah.
Gambar 2—Tujuan Tata Kelola: Penciptaan Nilai
Pemangku Kepentingan
Kebutuhan
Tujuan Tata Kelola: Penciptaan Nilai
Manfaat Mempertaruhkan Sumber

Realisasi Pengoptimalan Pengoptimalan
Perusahaan memiliki banyak pemangku kepentingan, dan 'menciptakan nilai' memiliki arti yang berbeda—dan terkadang bertentangan—bagi masing-masing
pemangku kepentingan. Tata kelola adalah tentang menegosiasikan dan memutuskan di antara kepentingan nilai pemangku kepentingan yang berbeda.
Akibatnya, sistem tata kelola harus mempertimbangkan semua pemangku kepentingan saat membuat keputusan penilaian manfaat, risiko, dan sumber daya.
Untuk setiap keputusan, pertanyaan-pertanyaan berikut dapat dan harus ditanyakan: Untuk siapa keuntungannya? Siapa yang menanggung risikonya? Sumber
daya apa yang dibutuhkan?
Kebutuhan pemangku kepentingan harus diubah menjadi strategi perusahaan yang dapat ditindaklanjuti. Kaskade tujuan COBIT 5 adalah mekanisme
untuk menerjemahkan kebutuhan pemangku kepentingan menjadi tujuan perusahaan yang spesifik, dapat ditindaklanjuti, dan disesuaikan, tujuan terkait TI,
dan tujuan yang memungkinkan. Terjemahan ini memungkinkan penetapan tujuan spesifik di setiap tingkat dan di setiap area perusahaan untuk mendukung
tujuan keseluruhan dan persyaratan pemangku kepentingan.
Kaskade gol COBIT 5 ditunjukkan pada gambar 3.
Langkah 1. Penggerak Pemangku Kepentingan Mempengaruhi Kebutuhan Pemangku Kepentingan

Kebutuhan pemangku kepentingan dipengaruhi oleh sejumlah pendorong, misalnya, perubahan strategi, lingkungan bisnis dan peraturan yang berubah,
serta teknologi baru.
Langkah 2. Kebutuhan Pemangku Kepentingan untuk Tujuan Perusahaan

Kebutuhan pemangku kepentingan dapat dikaitkan dengan serangkaian tujuan umum perusahaan. Tujuan perusahaan ini telah dikembangkan menggunakan
dimensi balanced scorecard (BSC)1, dan mereka mewakili daftar tujuan yang umum digunakan yang dapat ditentukan oleh perusahaan untuk dirinya sendiri.
Meskipun daftar ini tidak lengkap, sebagian besar tujuan khusus perusahaan dapat dipetakan dengan mudah ke satu atau lebih tujuan umum perusahaan.
COBIT 5 mendefinisikan 17 tujuan umum, seperti yang ditunjukkan pada gambar 4, yang mencakup informasi berikut:
s4HE"3#DIMENSIONUNDERWHICHHEENTERPRISEGOALFITS
s%NTERPRISEGOALS
s4HERELATIONSHIPTHREEMAINGOVERNANCETUJUAN MANFAATREALISASIRISIKOPTIMASI DAN SUMBER DAYA
pengoptimalan. ('P' singkatan dari hubungan primer dan 'S' untuk hubungan sekunder, yaitu hubungan yang kurang kuat.)
1
Kaplan, Robert S.; David P.Norton; The Balanced Scorecard: Menerjemahkan Strategi ke dalam Tindakan, Harvard University Press, AS, 1996
13
Gambar 3—Ikhtisar Kaskade Sasaran COBIT 5
Penggerak Pemangku Kepentingan
(Lingkungan, Evolusi Teknologi, ...)
Pengaruh
Kebutuhan Pemangku Kepentingan

Realisasi Pengoptimalan Pengoptimalan
Kaskade ke Lampiran D, COBIT 5
Tujuan Perusahaan Gambar 4
Kaskade ke Lampiran B
Tujuan terkait TI Gambar 5
Kaskade ke Lampiran C
Tujuan Pemberdaya
Gambar 4—COBIT 5 Tujuan Perusahaan
Kaitannya dengan Tujuan Tata Kelola

Dimensi BSC Tujuan Perusahaan Realisasi Pengoptimalan Pengoptimalan
Keuangan 1. Nilai pemangku kepentingan dari investasi bisnis P S
2. Portofolio produk dan layanan yang kompetitif PP S

3. Risiko bisnis yang dikelola (pengamanan aset) P S
4. Kepatuhan terhadap hukum dan peraturan eksternal P
5. Transparansi keuangan PS S
Pelanggan 6. Budaya layanan berorientasi pelanggan P S
7. Kesinambungan dan ketersediaan layanan bisnis P
8. Respons tangkas terhadap lingkungan bisnis yang berubah P S
9. Pengambilan keputusan strategis berbasis informasi PP P

10. Optimalisasi biaya pengiriman P P
Intern layanan 11. Optimalisasi fungsionalitas proses P P
bisnis 12. Optimalisasi biaya proses bisnis 13. P P
Program perubahan bisnis terkelola 14. PP S

Produktivitas operasional dan staf P P
15. Kepatuhan terhadap kebijakan internal P
Pembelajaran dan Pertumbuhan 16. Orang-orang yang terampil dan termotivasi SP P

17. Budaya inovasi produk dan bisnis P

BAB 2. RASKADE TUJUAN DAN METRIK UNTUK
TUJUAN PERUSAHAAN DAN TUJUAN TERKAIT TI
Langkah 3. Enterprise Goals Cascade to IT-related Goals Pencapaian

tujuan perusahaan membutuhkan sejumlah hasil terkait IT,2 yang diwakili oleh tujuan terkait IT.
IT-related adalah singkatan dari information and related technology, dan tujuan terkait IT disusun sepanjang dimensi IT balanced scorecard
(IT BSC). COBIT 5 mendefinisikan 17 tujuan terkait TI, tercantum pada gambar 5.
Gambar 5—Tujuan terkait TI

Dimensi BSC IT Tujuan Informasi dan Teknologi Terkait
Keuangan 01 Penyelarasan TI dan strategi bisnis
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan eksternal
03 Komitmen manajemen eksekutif untuk membuat keputusan terkait TI
04 Risiko bisnis terkait TI yang dikelola
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI
06 Transparansi biaya, manfaat dan risiko TI
Pelanggan 07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis
08 Penggunaan aplikasi, informasi dan solusi teknologi yang memadai
Intern 09 kelincahan TI
10 Keamanan informasi, infrastruktur pemrosesan dan aplikasi
11 Optimalisasi aset, sumber daya, dan kemampuan TI
12 Pemberdayaan dan dukungan proses bisnis dengan mengintegrasikan aplikasi dan teknologi ke dalam proses bisnis
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, dan memenuhi persyaratan dan standar kualitas
14 Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan
15 Kepatuhan TI dengan kebijakan internal
Pembelajaran dan Pertumbuhan 16 Personel bisnis dan TI yang kompeten dan termotivasi
17 Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis
Tabel pemetaan antara sasaran terkait TI dan sasaran perusahaan disertakan dalam lampiran B, dan ini menunjukkan bagaimana
setiap sasaran perusahaan didukung oleh sejumlah sasaran terkait TI.
Langkah 4. Sasaran terkait TI Berjenjang ke Sasaran Pemberdaya

Mencapai tujuan terkait TI membutuhkan aplikasi yang berhasil dan penggunaan sejumlah faktor yang memungkinkan. Pemberdaya
meliputi: s0RINCIPLESPOLICIESANDFRAMEWORKS s0ROCESSES s/RGANISATIONALSTRUCTURES
s#ULTUREETHICSANDBEHAVIOURS s)NFORMATION s3ERVICESINFRASTRUCTUREANDAPPLICATIONS
s0EOPLESKILLSANDCOMPETENCIES
Untuk setiap enabler, satu set spesifik, tujuan yang relevan dapat ditentukan untuk mendukung tujuan terkait TI. Dalam dokumen ini,
tujuan proses disediakan dalam deskripsi proses yang terperinci. Proses adalah salah satu yang memungkinkan, dan lampiran C berisi
pemetaan antara tujuan terkait TI dan proses COBIT 5.
Menggunakan Cascade Tujuan 5 COBIT

Manfaat Cascade Tujuan COBIT 5 Kaskade tujuan3
penting, karena memungkinkan definisi prioritas untuk implementasi, peningkatan, dan jaminan tata kelola TI perusahaan berdasarkan
tujuan (strategis) perusahaan dan risiko terkait. Dalam praktiknya, cascade tujuan:
s$EFINESRELEVANTANDTANGIBLEGOALSANDOBJECTIVESATVARIOUSLEVELSOFRESPONSIBILITY
s&ILTERSTHEKNOWLEDGEBASEOF#/")4
BASEDONENTERPRISEGOALSTOEXTRACTRELEVANTGUIDANCEFORINCLUSIONSPENDEKATANPENDEKATAN#/")4
BASEDONENTERPRISEGOALSTOEXTRACTRELEVANTGUIDANCEFORINCLUSIONSEBELUM LEBIH LANJUT LEBIH LANJUT
2 Hasil terkait TI jelas bukan satu-satunya manfaat perantara yang diperlukan untuk mencapai tujuan perusahaan. Semua area fungsional lainnya dalam suatu
organisasi, seperti keuangan dan pemasaran, juga berkontribusi pada pencapaian tujuan perusahaan, tetapi dalam konteks COBIT 5 hanya aktivitas dan tujuan terkait TI
yang dipertimbangkan.
3 Kaskade tujuan didasarkan pada penelitian yang dilakukan oleh Institut Penyelarasan dan Tata Kelola TI Sekolah Manajemen Universitas Antwerpen di Belgia.
15
Menggunakan Cascade Tujuan COBIT 5 dengan Hati-hati

Kaskade tujuan—dengan tabel pemetaannya antara tujuan perusahaan dan tujuan terkait TI dan antara tujuan terkait TI dan enabler COBIT 5 (termasuk
proses)—tidak mengandung kebenaran universal, dan pengguna tidak boleh mencoba menggunakannya secara mekanistik murni. cara, melainkan sebagai
pedoman. Ada berbagai alasan untuk ini, termasuk:
s%SANGAT ENTERPRISEHASBERBEDAPRIORITASINITSTUJUANDANPRIORITASMUNGKIN BERUBAHSELAMA
WAKTU s4HEMAPPINGTABLESDONTIDENTIBUSUKURANDAN ORINDUSTRIPERUSAHAAN 4HEYREPRESENTASORTOFCOMMON
penyebut bagaimana, secara umum, berbagai tingkat tujuan saling terkait.
s4HEINDIKATORSUSEDINTHEMAPPINGGUNAKANDUA TINGKATSOF PENTINGORRELEVANCES MENYARANKAN BAHWATHEREARE
tingkat relevansi 'diskrit', sedangkan, pada kenyataannya, pemetaan akan mendekati kontinum dari berbagai tingkat korespondensi.
Menggunakan COBIT 5 Goals Cascade dalam Praktek

Dari penafian sebelumnya, jelas bahwa langkah pertama yang harus selalu diterapkan perusahaan saat menggunakan kaskade tujuan adalah
menyesuaikan pemetaan, dengan mempertimbangkan situasi spesifiknya. Dengan kata lain, setiap perusahaan harus membangun kaskade tujuannya sendiri,
membandingkannya dengan COBIT dan kemudian menyempurnakannya.
Misalnya, perusahaan mungkin ingin:

s4RANSLATETHESTRATEGICPRIORITIESINTOASPECIFIC@WEIGHT ORIMPORTANCEFOREACHOFTHEENTERPRISEGOALS
s6ALIDATETHEMAPPINGSOFTHEGOALSCASCADETAKINGINTOACCOUNTITSSPESIFIKASILINGKUNGANINDUSTRI DLL
Metrik
Halaman berikut berisi sasaran perusahaan dan sasaran terkait TI, dengan metrik sampel yang dapat digunakan untuk mengukur pencapaian setiap sasaran.
Metrik ini adalah sampel, dan setiap perusahaan harus meninjau daftar dengan cermat, memutuskan metrik yang relevan dan dapat dicapai untuk lingkungannya
sendiri, dan merancang sistem kartu skornya sendiri. Selain metrik di bawah ini, tujuan proses dan metrik terkandung dalam deskripsi proses yang terperinci.
Metrik Sasaran Perusahaan

Gambar 6 berisi semua tujuan perusahaan seperti yang diidentifikasi dalam publikasi kerangka kerja, dengan metrik sampel untuk masing-masing.
Gambar 6—Metrik Sampel Sasaran Perusahaan

BSC
Dimensi Tujuan Perusahaan Metrik
Keuangan 1. Nilai pemangku s0ERCENTOINVESTMENTSWHEREVALUEDELIVEREDMEETSSTAKEHOLDERHARAPAN

kepentingan dari investasi bisnis s0ERCENTOPRODUKDAN LAYANANWHEREEDIHARAPKANMANFAATNYATERNYATA
s0ERCENTOFINVESTMENTSWHERECLAIMEDBENEFITSAREMETOREXCEED
2. Portofolio produk dan layanan s0ERCENTOPRODUKDAN LAYANANSTMEETOREXCEEDTARGETSINPENDAPATAN DANPANGSA PASAR

yang kompetitif s2ATIOOFPRODUCTSANDSERVICESPERLIFECYCLEPHASE
s0ERCENTOPRODUKDAN LAYANANSTMEETORMELEBIHI SASARAN KEPUASAN PELANGGAN
s0ERCENTOPRODUK DAN LAYANAN YANG MEMBERIKAN KEUNTUNGAN KOMPETITIF
3. Risiko bisnis yang dikelola s0ERSENTOFKRITIKALBISNISOBJEKTIFDAN LAYANAN TERCAKUP OLEH PENILAIAN RISIKO
(pengamanan aset) s2ATIOOFSIGNIFICANTINSIDENTWRENOTIDENTIFIEDINRISKA PENILAIAN VS TOTALINSIDEN
s&REQUENCYOFUPDATEOFRISKPROFILE
4. Kepatuhan terhadap hukum dan s#OSTOFREGULATORYNON COMPLIANCETERMASUK PENYELESAIAN DAN DEFINISI

peraturan eksternal s.UMBEROFREGULATORYNON KEPATUHAN MASALAHSCAUSINGPUBLICKOMENTARORNEGATIFPUBLIKASI
s.UMBEROFREGULATORYNON KEPATUHAN MASALAH BERKAITAN DENGAN PERJANJIAN KONTRAKTU DENGAN
mitra bisnis
5. Transparansi keuangan s0ERCENTOINVESTMENTKASUS USAHADENTIFIKASI JELAS DAN DISETUJUI BIAYA YANG DIHARAPKAN
dan manfaat
s0ERCENTOPRODUKDAN LAYANANDITENTUKAN DAN DISETUJUI BIAYA OPERASIONALDANDUNGAN MANFAAT YANG DIHARAPKAN

s3SURVEI KEPUASAN KUNCI PEMEGANG PEMANGKU KEPENTINGAN TENTANG TRANSPARANSI PEMAHAMAN DAN AKURASI
informasi keuangan perusahaan
s0ERCENTOLAYANANBIAYA YANG DAPAT DIKATAKAN PADA PENGGUNA

BAB 2. RASKADE TUJUAN DAN METRIK UNTUK
TUJUAN PERUSAHAAN DAN TUJUAN TERKAIT TI
Gambar 6—Metrik Sampel Sasaran Perusahaan (lanjutan)

BSC
Dimensi Tujuan Perusahaan Metrik
Pelanggan 6. Budaya layanan s.JUMLAH GANGGUAN LAYANAN PELANGGANSDUETO)4 KEANDALAN LAYANAN TERKAIT
berorientasi pelanggan KEANDALAN0ERCENTOFBUSINESSPEMEGANG PEMEGANG SAHAMPUASBAHWA PELAYANAN
PELANGGANPENGIRIMAN MEETS SETUJU ONLEVELS s.UMBEROFCKELuhan PELANGGAN RESSFAKSIPELANGGAN
7. Kesinambungan dan s.UMBEROFCUSTOMERSERVICEINTERRUPTIONSCAUSINGSIGNIFICANTINCIDENTS

ketersediaan layanan bisnis s"USINESSCOSTOFINCIDENTS
s.UMBEROFBUSINESSPROCESSINGHOURSLOSTDUETOUNPLANNEDSERVICEINTERRUPTIONS
s0ERCENTOFCOMPLAINTSASAFUNCTIONOFCOMMITTEDSERVICEAVAILABILITYTARGETS
8. Respons tangkas terhadap s,EVELOFBOARDSATISFACTIONWITHENTERPRISERESPONSIVENESSTONEWREQUIREMENTS

lingkungan bisnis yang s.UMBEROFCRITICALPRODUCTSANDSERVICESSUPPORTEDBYUP TO DATEBUSINESSPROCESSES s!
berubah VERAGETIMETOTURNSTRATEGICENTERPRISEOBJECTIVESINTOANAGREED ONANDAPPROVEDINITIATIVE
9. Pengambilan keputusan s$EGREEOFBOARDANDEXECUTIVEMANAGEMENTSATISFACTIONWITHDECISIONMAKING

strategis berbasis s.UMBEROFINCIDENTSCAUSEDBYINCORRECTBUSINESSDECISIONSBASEDONINACCURATEINFORMATION
informasi s4IMETOPROVIDESUPPORTINGINFORMATIONTOENABLEEFFECTIVEBUSINESSDECISIONS
10. Optimalisasi biaya pengiriman s&REKUENSIJASAPELAYANANKOSTOPTIMISASI PENILAIAN

layanan s4RENDOFCOSASSESSMENTVS TINGKAT PELAYANANHASIL s3TINGKAT
KEPUASANPAPANPAPAN DAN PENGELOLAAN EKSEKUTIF DENGAN BIAYA PENGIRIMAN LAYANAN
Intern 11. Optimalisasi fungsionalitas s&REQUENCYOFBUSINESSPROCESSKAPABILITASPAPAN KEMATIAN HASIL

proses bisnis PENILAIAN s4RENDOFASESSMENTS s3KEPUASANLEVELPAPAN DAN
EKSEKUTIF DENGANKEMAMPUANPROSES BISNIS
12. Optimalisasi biaya proses bisnis s&REQUENCYOFBUSINESSPROCESSCOSTOPTIMISATIONASSESSMENTS

s4RENDOFCOSTASSESSMENTVS SERVICELEVELRESULTS
s3ATISFACTIONLEVELSOFBOARDANDEXECUTIVEMANAGEMENTWITHBUSINESSPROCESSINGCOSTS
13. Bisnis yang dikelola s.UMBEROFPROGRAMMESONTIMEANDWITHINBUDGET

ganti program s0ERCENTOFSTAKEHOLDERSSATISFIEDWITHPROGRAMMEDELIVERY
s,EVELOFAWARENESSOFBUSINESSCHANGEINDUCEDBY)4 ENABLEDBUSINESSINITIATIVES
14. Operasional dan s.UMBEROFPROGRAMMES PROJECTSONTIMEANDWITHINBUDGET

produktivitas staf s#OSTANDSTAFFINGLEVELSCOMPAREDTOBENCHMARKS
15. Kepatuhan terhadap kebijakan s.UMBEROFINCIDENTSRELATEDTON KEPATUHANTOPOLICY

internal s0ERCENTOFSTAKEHOLDERSPENGERTIAN KEBIJAKAN
s0ERCENTOFPOLICIESSDIDUKUNG STANDAR EFEKTIFSANDARDSANDWORKPRACTICES
Belajar dan 16. Orang yang terampil dan s,KEMBANGKAN KEPUASAN PEMEGANG PEMEGANG PASANG KEAHLIAN STAFF KEAHLIAN
Pertumbuhan termotivasi DAN KETERAMPILAN s0ERCENTOFSTAFF YANG KETERAMPILANNYACUKUP UNTUK KOMPETENSI YANG DIBUTUHKAN UNTUK
PERAN PERAN s0ERCENTOFPUSATSTAFF
17. Budaya inovasi produk dan s,KEMBANGKAN KESADARANDAN PEMAHAMANPENGERTIAN BISNISINNOVASIPeluang

bisnis s3PENGELOLAKEPUASAN DENGAN TINGKAT PRODUKDANINNOVASIKAH DAN IDE-IDE
s.UMBEROFDISETUJUIPRODUK DAN LAYANAN YANG DIHASILKAN DARI IDE-IDE INOVATIF
Metrik Sasaran terkait TI Gambar

7 berisi semua sasaran terkait TI sebagaimana didefinisikan dalam kaskade sasaran dan mencakup metrik sampel untuk setiap sasaran.
Gambar 7—Metrik Sampel Sasaran terkait TI

BSC
Dimensi Tujuan terkait TI Metrik
Keuangan 01 Penyelarasan TI dan s0ERCENTOFENTERPRISESTRATEGICGOALSANDREQUIREMENTSSUPPORTEDBY)4STRATEGICGOALS

strategi bisnis s,EVELOFSTAKEHOLDERSATISFACTIONWITHSCOPEOFTHEPLANNEDPORTFOLIOOFPROGRAMMESANDSERVICES
s0ERCENTOF)4VALUEDRIVERSMAPPEDTOBUSINESSVALUEDRIVERS s#OSTOF)4NON
02 Kepatuhan TI dan COMPLIANCEINCLUDINGSETTLEMENTSANDFINESANDTHEIMPACTOFREPUTATIONALLOSS s.UMBEROF)4

dukungan untuk kepatuhan RELATEDNON COMPLIANCEISSUESREPORTEDTOTHEBOARDORCAUSINGPUBLICCOMMENT
bisnis dengan hukum dan atau malu
peraturan eksternal s.UMBEROFNON KEPATUHAN MASALAH BERKAITAN DENGAN PERJANJIAN KONTRAKtual)4 PENYEDIA JASA
s#LEBIH UMUR PENILAIAN KEPATUHAN
03 Komitmen manajemen eksekutif s0ERCENTOFEXECUTIVEMANAGEMENTPERANDENGAN AKUNTABILITAS YANG DITENTUKAN DENGAN

untuk membuat JELAS UNTUK)4DECISIONS s.UMBEROFTIMES)4ISONTHEBOARDAGENDAINAPROACTIVEMANNER
keputusan terkait TI s&REQUENCYOF)4STRATEGY EXECUTIVECOMMITTEEMEETINGS2EXUTIONFEXUTIONS2ATEO
17
Gambar 7—Metrik Sampel Sasaran terkait TI (lanjutan)

BSC
Dimensi Tujuan terkait TI Metrik
Keuangan 04 Risiko bisnis terkait TI s0ERCENTOFCRITICALBUSINESSPROCESSES)4SERVICESAND)4 ENABLEDPROGRAMBUSINESSDICOVEREDBY

(lanjutan) yang dikelola tugas beresiko
s.UMBEROFSIGNIFICANT)4 RELATEDDINCIDENTTHWERENOTIDENTIFIEDINRISKASESSMENT
s0ERCENTOFENTERPRISERISKASSESSMENT TERMASUK)4 RELATEDRISKIES &
REQUENCYOFUPDATEOFRISKPROFILE s0ERCENTOFENTERPRISERISKASSESSMENT TERMASUK)4
05 Realisasi manfaat dari RELATEDRISK & REQUENCYOFUPDATEOFRISKPROFILE s0ERCENTOITSWHETOREDBLEDIVENVEN

Portofolio investasi dan lingkaran kehidupan
layanan yang mendukung TI s0ERCENTOF)4LAYANANSHEREEDIHARAPKANMANFAATNYAREALISASI

s0ERCENTOF)4 AKTIFKAN INVESTMENTSHEREKLAIM MANFAATAREMETOREXCEED
06 Transparansi biaya, manfaat s0ERCENTOINVESTMENTKASUS USAHADETIKA DITENTUKAN DAN DISETUJUIDIHARAPKAN)4 BIAYA TERKAIT
dan risiko TI dan manfaat
s0ERCENTOF)4LAYANANDITENTUKAN DENGAN JELAS DANDISETUJUOPERASI BIAYADANDAN MANFAAT YANG
DIHARAPKAN s3SURVEI KEPUASAN PEMEGANG PEMANGKU KUNCI TENTANG TINGKAT TRANSPARANSI PEMAHAMAN DAN
akurasi informasi keuangan TI
Pelanggan 07 Penyampaian layanan TI s.UMBEROFBUSINESSGANGGUANSDUETO)4INSIDEN LAYANAN

sesuai dengan kebutuhan s0ERCENTOFBUSINESSPEANG PEMEGANG PEMANGKU KEPENTINGAN BAHWA)4PELAYANANPENGIRIMANMEETS SETUJU PADA
bisnis TINGKAT LAYANAN s0ERCENTOFUSERPUAS DENGAN KUALITASNYA)4PELAYANAN PENYIMPANAN
08 Penggunaan aplikasi, s0ERCENTOFBUSINESSPROCESSOWNERSPUSAT DENGAN PENDUKUNG)4PRODUCTSANDSERVICES

informasi dan solusi teknologi s,EVELOFBUSINESSS,PENGERTIAN PEMERIKSAAN BAGAIMANA TEKNOLOGISOLUSI DUKUNGANPROSES
yang memadai MEREKA s3KEPUASANLOVELOFBUSINESSPENGGUNAANNILAISOLUSIPELATIHAN DANEFTPELATIHAN
PENGGUNAANKEBUKAAN.
Intern 09 kelincahan TI s,EVELOFSATISFACTIONOFBUSINESSEXECUTIVESWITH)4 SRESPONSIVENESSTONEWREQUIREMENTS

s.UMBEROFCRITICALBUSINESSPROCESSESSUPPORTEDBYUP TO DATEINFRASTRUCTUREANDAPPLICATIONS
s!VERAGETIMETOTURNSTRATEGIC)4OBJECTIVESINTOANAGREED ONANDAPPROVEDINITIATIVE
10 Keamanan informasi, s.UMBEROFSECURITYINCIDENTSCAUSINGFINANCIALLOSSBUSINESSDISRUPTIONORPUBLICEMBARRASSMENT

infrastruktur pemrosesan dan s.UMBEROF)4SERVICESWITHOUTSTANDINGSECURITYREQUIREMENTS
aplikasi s4IMETOGRANTCHANGEANDREMOVEACCESSPRIVILEGESCOMPAREDTOAGREED ONSERVICELEVELS
s&REQUENCYOFSECURITYASSESSMENTAGAINSTLATESTSTANDARDSANDGUIDELINES
11 Optimalisasi S & requencyofcapabilityMaturity dan

Aset, sumber daya, dan postoptimisationassessmentsmentsmentsmentsmentsmentsmentsmentsmentsmentresultSults
kemampuan TI S3atisfaction -levelSofbusiness dan 4 executiveS dengan CHEATTYCOSTS dan
12 Pemberdayaan dan dukungan KAPABILITASIMEDEKUREDEKOKEDEKOCECEDEK -PENCOP

proses bisnis dengan -PECHATECEDEKOLOGECEDEKUPTERGRATIONSIGNEDEGRORDERSODRORDOUSOLADEKUCHEDEDATEODY
mengintegrasikan aplikasi dan Isu Integrasi S.
teknologi ke dalam proses bisnis Bumbuan) 4 yang diaktifkan BusinessProgrammesDelayedorincurringDDisionalSostDuetototeknologi Integrasi.
13 Penyampaian program yang

memberikan manfaat, tepat
waktu, sesuai anggaran, dan
memenuhi persyaratan dan
standar kualitas
14 Ketersediaan informasi yang s,KEMBANGKAN KEPUASAN PENGGUNA KUALITAS DAN KETEPATAN WAKTU ATAU
andal dan berguna untuk KETERSEDIAAN informasi manajemen s.UMBEROFBUSINESSPROCESSINSIDENT DISEBABKAN
pengambilan keputusan OLEH NON KETERSEDIAAN INFORMASI
s2ASIOANDEXTENTOFERRONEOUSBUSINESSDESIENORUNAVRONEOUS
adalah faktor kunci
15 Kepatuhan TI dengan S.UMBEROFINCIDENTSRELATEDTON KEPATUHANTOPOLICY

kebijakan internal s0ERCENTOFSTAKEHOLDERSIPENGERTIAN KEBIJAKAN
s0ERCENTOFPOLICIESSDUKUNG OLEH STANDAR EFEKTIF DAN PRAKTIK KERJA S &
REQUENCYOF KEBIJAKAN TINJAUAN DAN PEMBARUAN
Belajar dan 16 Personel bisnis dan TI yang s0ERCENTOFSTAFFyang)4 KETERAMPILAN TERKAITCUKUPUNTUK KOMPETENSI YANG DIBUTUHKAN UNTUK
Pertumbuhan kompeten dan termotivasi PERANNYA s0ERCENTOFSTAFFPUAS DENGAN MEREKA)4 PERAN TERKAIT s.UMBEROJAM PELATIHAN
ANGGOTAPERSTAF
17 Pengetahuan, keahlian dan s,KEMUNGKINAN BISNISEKSEKUTIF KESADARAN DAN PEMAHAMAN)4INOVASIKEMUNGKINAN

inisiatif untuk inovasi bisnis s,KEMBANGKAN PEMEGANG PEMEGANG KEPUASAN DENGAN TINGKAT)4INOVASIAHLI DAN IDE-IDE
s.UMBEROFAPPROVEDINIATIVESHASILIVEFROMINNOVATIVE

BAB 3
MODEL PROSES COBIT 5
BAB 3
Proses adalah salah satu dari tujuh kategori enabler untuk tata kelola dan manajemen TI perusahaan, seperti yang dijelaskan dalam COBIT 5,
bab 5. Spesifik untuk proses enabler dibandingkan dengan deskripsi enabler generik ditunjukkan pada gambar 8.
Gambar 8—COBIT 5 Enabler: Proses
Pemangku Kepentingan Sasaran Lingkaran kehidupan Latihan yang baik
/ $* ($" / $*( $) + " *. /"$ / Praktek Proses,

* ! %" () / %$* -*+ " + " *. /)$ Kegiatan, Detail
/ -* ($" ",$ / + " '+ ( ( * #&" Kegiatan
Pemberdaya
Dimensi * ! %" () * , $ )) # $* / W% (! (% + *)
/
)) " *. $ +( *. / ) & ( * / , "+ * $&+*) +*&+*)
%$ *%(
/ & * )&%)
Praktik Umum untuk

Proses
( * ! %" () ( $" ( ) ." ( %% ( * )

) ( )) % ") , $ &&"
Pengelolaan
Pemberdaya
Performa
*( ) %( , # $* % % ") *( ) %( &&" * %$ % ( * *%()

$ *%() $
Sebuah proses didefinisikan sebagai 'kumpulan praktik yang dipengaruhi oleh kebijakan dan prosedur perusahaan yang mengambil input
dari sejumlah sumber (termasuk proses lainnya), memanipulasi input dan menghasilkan output (misalnya, produk, layanan)'.
Model proses menunjukkan:

Pemangku Kepentingan—Proses memiliki pemangku kepentingan internal dan eksternal, dengan perannya masing-masing; pemangku
kepentingan dan tingkat tanggung jawab mereka didokumentasikan dalam bagan yang menunjukkan siapa yang bertanggung jawab, akuntabel,
dikonsultasikan atau diinformasikan (RACI). Pemangku kepentingan eksternal meliputi pelanggan, mitra bisnis, pemegang saham, dan regulator.
Pemangku kepentingan internal termasuk dewan, manajemen, staf dan sukarelawan.
sGoals—Proses tujuan didefinisikan sebagai 'pernyataan yang menggambarkan hasil yang diinginkan dari suatu proses. Hasil dapat berupa artefak,
perubahan signifikan dari suatu keadaan atau peningkatan kemampuan yang signifikan dari proses lain'. Mereka adalah bagian dari kaskade tujuan,
yaitu, tujuan proses mendukung tujuan terkait TI, yang pada gilirannya mendukung tujuan perusahaan.
Tujuan proses dapat dikategorikan sebagai:

– Tujuan intrinsik —Apakah proses memiliki kualitas intrinsik? Apakah itu akurat dan sesuai dengan praktik yang baik? Apakah itu
sesuai dengan aturan internal dan eksternal?
– Sasaran kontekstual—Apakah prosesnya disesuaikan dan disesuaikan dengan situasi spesifik perusahaan? Apakah prosesnya?
relevan, dimengerti, mudah diterapkan?
– Sasaran aksesibilitas dan keamanan— Proses tetap rahasia, bila diperlukan, dan diketahui serta dapat diakses oleh
mereka yang membutuhkannya.
Pada setiap tingkat kaskade tujuan, maka juga untuk proses, metrik didefinisikan untuk mengukur sejauh mana tujuan tercapai. Metrik dapat didefinisikan
sebagai 'entitas terukur yang memungkinkan pengukuran pencapaian tujuan proses. Metrik harus SMART—spesifik, terukur, dapat ditindaklanjuti,
relevan, dan tepat waktu'.

Untuk mengelola enabler secara efektif dan efisien, metrik perlu didefinisikan untuk mengukur sejauh mana hasil yang diharapkan tercapai. Selain itu, aspek
kedua dari manajemen kinerja enabler menjelaskan sejauh mana praktik yang baik diterapkan. Di sini juga, metrik terkait dapat ditentukan untuk membantu
pengelolaan enabler. sLife cycle—Setiap proses memiliki siklus hidup. Ini didefinisikan, dibuat, dioperasikan, dipantau, dan disesuaikan/diperbarui atau
dihentikan.
Praktik proses umum seperti yang didefinisikan dalam model penilaian proses COBIT berdasarkan ISO/IEC 15504 dapat membantu dalam mendefinisikan,
menjalankan, memantau, dan mengoptimalkan proses.
sGood practice—COBIT 5: Enabling Processes berisi model referensi proses, di mana praktik baik internal proses dijelaskan dalam tingkat detail yang
berkembang: praktik, aktivitas, dan aktivitas terperinci.4
Praktek:
s Untuk setiap proses COBIT 5, praktik tata kelola/manajemen menyediakan satu set lengkap persyaratan tingkat tinggi untuk tata kelola dan manajemen
TI perusahaan yang efektif dan praktis. Mereka:
- Pernyataan tindakan untuk memberikan manfaat, mengoptimalkan tingkat risiko dan mengoptimalkan penggunaan sumber daya
- Selaras dengan standar dan praktik baik yang diterima secara umum yang relevan
- Generik dan oleh karena itu perlu disesuaikan untuk setiap perusahaan
- Meliputi pelaku bisnis dan peran TI dalam proses (end to end)
s Badan dan manajemen tata kelola perusahaan perlu membuat pilihan terkait dengan praktik tata kelola dan manajemen ini dengan:
- Memilih yang dapat diterapkan dan memutuskan yang akan diimplementasikan

- Menambahkan dan/atau mengadaptasi praktik jika diperlukan
- Mendefinisikan dan menambahkan praktik yang tidak terkait dengan TI untuk integrasi dalam proses bisnis
- Memilih cara menerapkannya (frekuensi, rentang, otomatisasi, dll.)
- Menerima risiko tidak menerapkan yang mungkin berlaku
Aktivitas—Dalam COBIT tindakan utama untuk mengoperasikan proses
s Mereka didefinisikan sebagai 'panduan untuk mencapai praktik manajemen untuk tata kelola dan manajemen TI perusahaan yang sukses'.
Kegiatan COBIT 5 memberikan bagaimana, mengapa dan apa yang harus diterapkan untuk setiap praktik tata kelola atau manajemen untuk
meningkatkan kinerja TI dan/atau mengatasi solusi TI dan risiko penyampaian layanan. Bahan ini berguna untuk:
- Manajemen, penyedia layanan, pengguna akhir, dan profesional TI yang perlu merencanakan, membangun, menjalankan, atau memantau
(PBRM) TI perusahaan
- Profesional jaminan yang mungkin dimintai pendapatnya mengenai implementasi saat ini atau yang diusulkan atau peningkatan yang diperlukan
s Satu set lengkap aktivitas umum dan spesifik yang menyediakan satu pendekatan yang terdiri dari semua langkah yang diperlukan dan memadai
untuk mencapai praktik tata kelola utama (GP)/praktik manajemen (MP). Mereka memberikan panduan tingkat tinggi, pada tingkat di bawah GP/MP,
untuk menilai kinerja aktual dan untuk mempertimbangkan potensi peningkatan. Aktivitas:
– Jelaskan serangkaian langkah implementasi berorientasi tindakan yang diperlukan dan memadai untuk mencapai GP/MP
– Pertimbangkan input dan output dari proses
– Didasarkan pada standar yang diterima secara umum dan praktik yang baik
– Mendukung penetapan peran dan tanggung jawab yang jelas
– Non-preskriptif, dan perlu diadaptasi dan dikembangkan menjadi prosedur khusus yang sesuai untuk perusahaan
Kegiatan terperinci— Kegiatan mungkin tidak pada tingkat detail yang memadai untuk implementasi, dan panduan lebih lanjut mungkin perlu:
– Diperoleh dari standar spesifik yang relevan dan praktik yang baik seperti Perpustakaan Infrastruktur Teknologi Informasi (ITIL), Organisasi
Internasional untuk Standardisasi/Komisi Elektroteknik Internasional (ISO/IEC) seri 27000 dan Proyek DI Lingkungan Terkendali 2 (PRINCE2)
– Dikembangkan sebagai aktivitas yang lebih detail atau spesifik sebagai pengembangan tambahan dalam keluarga produk COBIT 5 itu sendiri
Input dan output—Input dan output COBIT 5 adalah produk/artefak kerja proses yang dianggap perlu untuk mendukung operasi proses.
Mereka memungkinkan keputusan kunci, memberikan catatan dan jejak audit aktivitas proses, dan memungkinkan tindak lanjut jika terjadi insiden.
Mereka didefinisikan pada tingkat praktik tata kelola/manajemen utama, dapat mencakup beberapa produk kerja yang hanya digunakan dalam proses,
dan seringkali merupakan masukan penting untuk proses lainnya.5
Praktik baik eksternal dapat ada dalam bentuk atau tingkat detail apa pun, dan sebagian besar mengacu pada standar dan kerangka
kerja lain. Pengguna dapat merujuk pada praktik baik eksternal ini setiap saat, mengetahui bahwa COBIT selaras dengan standar ini jika
relevan, dan informasi pemetaan akan tersedia.
4
Hanya praktik dan aktivitas yang dikembangkan di bawah proyek saat ini. Tingkat yang lebih rinci tergantung pada pengembangan tambahan, misalnya, berbagai
pemandu profesional dapat memberikan panduan yang lebih rinci untuk bidangnya. Juga, panduan lebih lanjut dapat diperoleh melalui standar dan kerangka kerja terkait,
seperti yang ditunjukkan dalam deskripsi proses yang terperinci.
5 Input dan output COBIT 5 ilustratif tidak boleh dianggap sebagai daftar yang lengkap karena arus informasi tambahan dapat ditentukan, tergantung pada lingkungan dan
kerangka proses perusahaan tertentu.

BAB 3
Manajemen Kinerja Pemberdaya

Perusahaan mengharapkan hasil positif dari aplikasi dan penggunaan enabler. Untuk mengelola kinerja para pengaktif,
pertanyaan-pertanyaan berikut harus dipantau dan dijawab—berdasarkan metrik—secara teratur:
s!
RESTAKEHOLDERNEEDSADDRESSEDs
Dalam kasus enabler proses, dua poin pertama berhubungan dengan hasil aktual dari proses. Metrik yang digunakan
untuk mengukur sejauh mana tujuan tercapai dapat disebut 'indikator lag'. Dalam COBIT 5: Mengaktifkan Proses,
sejumlah metrik ditentukan per tujuan proses.
Dua butir terakhir membahas fungsi sebenarnya dari enabler itu sendiri, dan metrik untuk ini dapat disebut 'indikator utama'.
Tingkat kemampuan proses —COBIT 5 mencakup skema penilaian kemampuan proses berbasis ISO/IEC
15504. Ini dibahas dalam bab 8 COBIT 5 dan panduan lebih lanjut tersedia dari publikasi ISACA terpisah.
Singkatnya, tingkat kapabilitas proses mengukur pencapaian tujuan dan penerapan praktik yang baik.
Hubungan dengan enabler lain—Hubungan antara proses dan kategori enabler lainnya ada melalui
hubungan berikut: s0ROCESSESNEEDINFORMATION
ASONEOFTHETYPESOFINPUTSANDCANPRODUCEINFORMATION
ASAWORKPRODUCTs0ROCESSESNEEDORGANISATIONALSTRUCTURESANDROLESTOOPERATEASEXPRESSEDTHROUGH
s0PRODUCEANDALSOREQUIRESERVICEKEMAMPUAN INFRASTRUKTURAPLIKASISETC
s0ROCESSESCANANDAKAN TERGANTUNG s0PROSES
PRODUCEORNEEDPOLICIESANDPROCEDURESTOENSURECONSISTENTIMPLEMENTATIONDANDEXTUREDEDEXUECULERD


BAB 4
MODEL REFERENSI PROSES COBIT 5
BAB 4
MODEL REFERENSI PROSES COBIT 5
Tata Kelola dan Proses Manajemen
Salah satu prinsip panduan dalam COBIT adalah perbedaan yang dibuat antara tata kelola dan manajemen. Sejalan dengan prinsip ini, setiap
perusahaan diharapkan untuk menerapkan sejumlah proses tata kelola dan sejumlah proses manajemen untuk menyediakan tata kelola dan
manajemen TI perusahaan yang komprehensif.
Ketika mempertimbangkan proses untuk tata kelola dan manajemen dalam konteks perusahaan, perbedaan antara jenis proses terletak pada tujuan
proses:
sProses tata kelola—Proses tata kelola berurusan dengan tujuan tata kelola pemangku kepentingan—pengiriman nilai, optimalisasi risiko, dan
pengoptimalan sumber daya—dan mencakup praktik dan aktivitas yang ditujukan untuk mengevaluasi opsi strategis, memberikan arahan kepada TI,
dan memantau hasilnya (Evaluate, direct and monitor [EDM]— sejalan dengan konsep standar ISO/IEC 38500).
Proses manajemen— Sejalan dengan definisi manajemen (lihat COBIT 5, Ringkasan Eksekutif), praktik dan aktivitas dalam proses manajemen
mencakup area tanggung jawab TI perusahaan PBRM, dan mereka harus menyediakan cakupan TI ujung ke ujung.
Meskipun hasil dari kedua jenis proses berbeda dan ditujukan untuk audiens yang berbeda, secara internal, dari konteks proses itu sendiri, semua
proses memerlukan aktivitas 'perencanaan', 'pembangunan atau implementasi', 'pelaksanaan' dan 'pemantauan' dalam proses.
Model
COBIT 5 tidak bersifat preskriptif, tetapi dari teks sebelumnya jelas bahwa COBIT 5 menganjurkan agar perusahaan menerapkan proses tata kelola
dan manajemen sedemikian rupa sehingga area utama tercakup, seperti yang ditunjukkan pada gambar 9.
Secara teori, suatu perusahaan dapat mengatur prosesnya sesuai keinginan, selama tujuan tata kelola dan manajemen dasar tercakup. Perusahaan
yang lebih kecil mungkin memiliki lebih sedikit proses; perusahaan yang lebih besar dan lebih kompleks mungkin memiliki banyak proses, semuanya
untuk mencapai tujuan yang sama.
Gambar 9—COBIT 5 Bidang Kunci Tata Kelola dan Manajemen
Kebutuhan Bisnis
Pemerintahan
Evaluasi
Memantau
Langsung Umpan Balik Manajemen
Pengelolaan
Rencana Membangun Lari Memantau

(ATAU) (YA) (DSS) (ARTI)
23
COBIT 5 mencakup model referensi proses, mendefinisikan dan menjelaskan secara rinci sejumlah proses tata kelola dan manajemen.
Ini menyediakan model referensi proses yang mewakili semua proses yang biasanya ditemukan di perusahaan yang berkaitan dengan
aktivitas TI, menawarkan model referensi umum yang dapat dipahami oleh TI operasional dan manajer bisnis. Model proses yang
diusulkan adalah model yang lengkap dan komprehensif, tetapi bukan satu-satunya model proses yang mungkin. Setiap perusahaan harus
mendefinisikan set prosesnya sendiri, dengan mempertimbangkan situasi spesifik.
Memasukkan model operasional dan bahasa umum untuk semua bagian perusahaan yang terlibat dalam aktivitas TI adalah salah satu
langkah terpenting dan kritis menuju tata kelola yang baik. Ini juga menyediakan kerangka kerja untuk mengukur dan memantau kinerja
TI, berkomunikasi dengan penyedia layanan, dan mengintegrasikan praktik manajemen terbaik.
Model referensi proses COBIT 5 membagi proses tata kelola dan manajemen TI perusahaan menjadi dua area utama aktivitas—tata
kelola dan manajemen—dibagi ke dalam domain proses: sGovernance— Domain ini berisi lima proses tata kelola; dalam setiap
proses, praktik EDM didefinisikan. sManagement— Keempat domain ini sejalan dengan area tanggung jawab PBRM (evolusi dari
domain COBIT 4.1), dan mereka menyediakan cakupan TI ujung-ke-ujung. Setiap domain berisi sejumlah proses, seperti pada COBIT
4.1 dan versi sebelumnya. Meskipun, seperti yang dijelaskan sebelumnya, sebagian besar proses memerlukan aktivitas
'perencanaan', 'implementasi', 'eksekusi' dan 'pemantauan' dalam proses atau dalam masalah spesifik yang ditangani—misalnya,
kualitas, keamanan—mereka ditempatkan di domain di sejalan dengan apa yang umumnya merupakan area aktivitas yang paling
relevan ketika berkaitan dengan TI di tingkat perusahaan.
Model referensi proses COBIT 5 merupakan penerus dari model proses COBIT 4.1, dengan model proses TI Risiko dan TI yang
terintegrasi juga. Gambar 10 menunjukkan set lengkap 37 proses tata kelola dan manajemen dalam COBIT 5.
Gambar 10—Model Referensi Proses COBIT 5
Proses untuk Tata Kelola Perusahaan IT

Evaluasi, Arahkan, dan Pantau
EDM01 Pastikan
EDM04 Pastikan EDM05 Pastikan
Pemerintahan EDM02 Pastikan EDM03 Pastikan
Sumber Pemangku Kepentingan
Pengaturan dan Pengiriman Manfaat Optimasi Risiko
Pemeliharaan Kerangka Pengoptimalan Transparansi
Sejajarkan, Rencanakan, dan Atur Memantau,

Mengevaluasi dan Menilai
APO01 Kelola APO03 Kelola
APO02 Kelola APO04 Kelola APO05 Kelola APO06 Kelola APO07 Kelola
Manajemen TI Perusahaan Sumber daya manusia
Strategi Inovasi Portofolio Anggaran dan Biaya
Kerangka Arsitektur
MEA01 Monitor,
Performa dan
APO09 Kelola
APO08 Kelola Melayani Kelola APO10 APO11 Kelola APO12 Kelola APO13 Kelola Kesesuaian
Hubungan Pemasok Kualitas Mempertaruhkan
Keamanan
Perjanjian
Bangun, Dapatkan, dan Implementasikan
BAI03 Kelola BAI05 Kelola BAI07 Kelola

Solusi Organisasi BAI06 Kelola Mengubah
Program dan Persyaratan Ketersediaan
Identifikasi Mengubah Perubahan Penerimaan dan MEA02 Monitor,
Proyek Definisi dan Kapasitas
dan Bangun Pemberdayaan Transisi Mengevaluasi dan
Menilai Sistem Internal
Kontrol

Pengetahuan Aktiva Konfigurasi
Kirim, Layanan, dan Dukungan
MEA03 Monitor,
DSS02 Kelola DSS05 Kelola DSS06 Kelola
DSS01 Kelola DSS03 Kelola Kelola DSS04
Permintaan Layanan Keamanan Bisnis Kepatuhan Dengan
Operasi Masalah Kontinuitas
dan Insiden Jasa Kontrol Proses Persyaratan Eksternal
Proses untuk Manajemen TI Perusahaan

BAB 5
COBIT 5 ISI PANDUAN REFERENSI PROSES
BAB 5
Bab ini menjelaskan konten terkait proses terperinci untuk proses tata kelola dan manajemen COBIT 5. Untuk setiap proses, informasi
berikut disertakan, sejalan dengan model proses yang dijelaskan dalam bab sebelumnya:
sIdentifikasi proses—Pada halaman pertama:
– Label proses—Awalan domain (EDM, APO, BAI, DSS, MEA) dan nomor proses
– Nama proses—Deskripsi singkat, yang menunjukkan subjek utama proses – Area proses
—Tata kelola atau manajemen
- Nama domain
sDeskripsi proses— Ikhtisar tentang apa yang dilakukan proses dan tinjauan tingkat tinggi tentang bagaimana proses
mencapai tujuannya
sProcess purpose statement— Deskripsi tujuan keseluruhan proses sGoals cascade
information—Referensi dan deskripsi tujuan terkait TI yang terutama didukung oleh proses,6 dan metrik untuk mengukur pencapaian
tujuan terkait TI
sSasaran dan metrik proses—Satu set sasaran proses dan metrik contoh dalam jumlah terbatas
sRACI chart—Sebuah penugasan tingkat tanggung jawab yang disarankan untuk praktik proses ke peran dan struktur yang berbeda.
Peran perusahaan yang tercantum diarsir lebih gelap daripada peran TI. Tingkat keterlibatan yang berbeda adalah:
– R(bertanggung jawab)—Siapa yang menyelesaikan tugas? Ini mengacu pada peran yang mengambil taruhan operasional utama dalam
memenuhi aktivitas yang terdaftar dan menciptakan hasil yang diinginkan
– A(dapat dipertanggungjawabkan)—Siapa yang bertanggung jawab atas keberhasilan tugas? Ini memberikan akuntabilitas
keseluruhan untuk menyelesaikan tugas (Di mana uang berhenti?). Perhatikan bahwa peran yang disebutkan adalah tingkat
akuntabilitas terendah yang sesuai; tentu saja ada tingkat yang lebih tinggi yang juga bertanggung jawab. Untuk memungkinkan
pemberdayaan perusahaan, akuntabilitas dipecah sejauh mungkin. Akuntabilitas tidak menunjukkan bahwa peran tersebut tidak
memiliki kegiatan operasional; sangat mungkin bahwa peran terlibat dalam tugas. Sebagai prinsip, akuntabilitas tidak dapat dibagi.
– C(onsulted)—Siapa yang memberikan masukan? Ini adalah peran kunci yang memberikan masukan. Perhatikan bahwa tergantung
pada peran yang akuntabel dan bertanggung jawab untuk mendapatkan informasi dari unit lain atau mitra eksternal juga. Namun,
masukan dari peran yang terdaftar harus dipertimbangkan dan, jika diperlukan, tindakan yang tepat harus diambil untuk eskalasi,
termasuk informasi dari pemilik proses dan/atau komite pengarah.
– Saya(diinformasikan)—Siapa yang menerima informasi? Ini adalah peran yang diinformasikan tentang pencapaian dan/atau
kiriman tugas. Peran dalam 'akuntabel' tentu saja harus selalu mendapat informasi yang tepat untuk mengawasi tugas, seperti halnya
peran yang bertanggung jawab untuk bidang yang mereka minati.
sDeskripsi detail dari proses praktik—Untuk setiap praktik:
– Judul dan deskripsi latihan
– Praktik input dan output, dengan indikasi asal dan tujuan – Aktivitas proses,
yang merinci praktik lebih lanjut
sPanduan terkait —Referensi ke standar lain dan arahan untuk panduan tambahan
Masukan dan keluaran

Uraian proses yang terperinci berisi—pada tingkat praktik tata kelola dan manajemen—input dan output.
Secara umum, setiap output dikirim ke satu atau beberapa tujuan, biasanya praktik proses COBIT lainnya. Output itu kemudian menjadi
input ke tujuannya. Namun, ada sejumlah output yang memiliki banyak tujuan, misalnya semua proses COBIT, atau semua proses dalam
domain. Untuk alasan keterbacaan, output ini TIDAK terdaftar sebagai input dalam proses ini. Sebuah daftar lengkap dari output tersebut
termasuk dalam gambar 11.
Untuk beberapa input/output, 'internal' tujuan disebutkan. Artinya input/output adalah antar aktivitas dalam proses yang sama.
6
Hanya tujuan terkait TI dengan 'P' dalam tabel pemetaan antara tujuan dan proses terkait TI (gambar 17) yang tercantum di sini.

Gambar 11—Keluaran
Keluaran untuk semua Proses
Dari Kunci
Praktik Deskripsi Keluaran Tujuan
APO13.02 Rencana penanganan risiko keamanan informasi Semua EDM; Semua AP; Semua BAI; Semua DSS; Semua MEA
Keluaran untuk semua Proses Tata Kelola
Dari Kunci
EDM01.01 Prinsip panduan tata kelola perusahaan Semua EDM
EDM01.01 Model pengambilan keputusan Semua EDM
EDM01.01 Tingkat otoritas Semua EDM
EDM01.02 Komunikasi tata kelola perusahaan Semua EDM
EDM01.03 Umpan balik tentang efektivitas dan kinerja tata kelola Semua EDM
Keluaran untuk semua Proses Manajemen
Dari Kunci
APO01.01 Aturan dasar komunikasi Semua AP; Semua BAI; Semua DSS; Semua MEA
APO01.03 Kebijakan terkait TI Semua AP; Semua BAI; Semua DSS; Semua MEA
APO01.04 #OMMUNICATIONSON)4TUJUAN Semua AP; Semua BAI; Semua DSS; Semua MEA
APO01.07 Peluang peningkatan proses Semua AP; Semua BAI; Semua DSS; Semua MEA
APO02.06 paket komunikasi Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.02 Standar manajemen mutu Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.04 Kualitas proses tujuan dan metrik layanan Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.06 Komunikasi tentang peningkatan berkelanjutan dan praktik terbaik Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.06 Contoh amalan yang baik untuk dibagikan Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.06 Hasil benchmark ulasan kualitas Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA01.02 Memantau target Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA01.04 Laporan kinerja Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA01.05 Tindakan perbaikan dan tugas Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.01 Hasil pemantauan dan tinjauan pengendalian internal Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.01 Hasil benchmarking dan evaluasi lainnya Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.03 Rencana dan kriteria penilaian diri Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.03 Hasil review penilaian diri Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.04 Kontrol kekurangan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.04 Tindakan perbaikan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.06 Rencana jaminan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.08 Lingkup yang disempurnakan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.08 Hasil tinjauan jaminan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.08 Laporan tinjauan jaminan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA03.02 Komunikasi tentang persyaratan kepatuhan yang diubah Semua AP; Semua BAI; Semua DSS; Semua MEA

BAB 5
Panduan Umum untuk Proses

Aktivitas dalam deskripsi proses yang mendetail menggambarkan tujuan fungsional dari proses—apa yang seharusnya diberikan oleh proses
tersebut. Ini akan berbeda untuk setiap proses, karena setiap proses memiliki tujuan proses yang berbeda.
Ada juga panduan tentang bagaimana proses akan dijalankan, yaitu panduan umum tentang bagaimana membangun, mengeksekusi, memantau
dan meningkatkan proses itu sendiri. Panduan ini bersifat umum—identik untuk setiap proses.
Dalam COBIT 4.1, kontrol proses berisi praktik baik yang tidak spesifik untuk proses apa pun, tetapi bersifat umum dan berlaku untuk semua
proses. Kontrol proses serupa dengan beberapa atribut maturitas generik dalam model maturitas COBIT 4.1.
Dalam COBIT 5, skema penilaian kapabilitas proses yang sesuai dengan ISO/IEC 15504 digunakan. Dalam skema ini, atribut kapabilitas milik
tingkat kapabilitas proses yang lebih tinggi menggambarkan bagaimana proses yang lebih baik dan lebih mampu dapat dibangun, sehingga
secara efektif menggantikan kontrol proses COBIT 4.1.
Ini adalah panduan terkait proses yang penting, dan untuk alasan itu gambar 12 berisi tinjauan tingkat tinggi dari kontrol proses
COBIT 4.1 dan atribut kemampuan proses berbasis ISO/IEC 15504 yang setara yang merupakan dasar untuk proses yang baik.
Gambar 12—COBIT 4.1 Kontrol Proses dan Atribut Kemampuan Proses ISO/IEC 15504 Terkait
COBIT 4.1 Atribut Kemampuan Proses ISO/IEC 15504 Terkait
PC1 0ROCESS'OALSAND/TUJUAN PA 2.1 Atribut manajemen kinerja
Kepemilikan Proses PC2 PA 2.1 Atribut manajemen kinerja
Pengulangan Proses PC3 PA 3.1 Atribut definisi proses
Peran dan Tanggung Jawab PC4 PA 2.1 Atribut manajemen kinerja

PA 3.2 Atribut penyebaran proses
Kebijakan, Rencana dan Prosedur PC5 PA 2.1 Atribut manajemen kinerja
Peningkatan Kinerja Proses PC6 PA 2.1 Atribut manajemen kinerja

PA 5.2 Atribut pengoptimalan proses


BAB 5
EVALUASI, LANGSUNG DAN MONITOR (EDM)
01 Memastikan pengaturan dan pemeliharaan kerangka tata kelola.
02 Memastikan penyampaian manfaat.
03 Pastikan optimasi risiko.
04 Pastikan pengoptimalan sumber daya.
05 Memastikan transparansi pemangku kepentingan.


BAB 5
Arahkan,
Evaluasi,
Pantau
dan EDM01 Memastikan Pengaturan dan Pemeliharaan Kerangka Tata Kelola
Deskripsi proses
Area: Pemerintahan
Domain: Evaluasi, Langsung dan Pantau
Menganalisis dan mengartikulasikan persyaratan untuk tata kelola TI perusahaan, dan menerapkan serta memelihara struktur, prinsip,
PROSES DAN PRAKTEK KELARITAS TANGGUNG JAWAB DAN WEWENANG UNTUK MENCAPAI MISI ENTERPRISE SASARAN DAN TUJUAN
Pernyataan Tujuan Proses

Memberikan pendekatan yang konsisten terintegrasi dan selaras dengan pendekatan tata kelola perusahaan. Untuk memastikan bahwa keputusan terkait TI dibuat sesuai
dengan STRATEGI ENTERPRISE DAN TUJUAN SENSURETH)4 PROSES TERKAIT DILIHAT SECARA EFEKTIF DAN TRANSPARAN KEPATUHAN DENGAN LEGALAND
persyaratan peraturan dikonfirmasi, dan persyaratan tata kelola untuk anggota dewan terpenuhi.
Proses tersebut mendukung pencapaian serangkaian tujuan utama terkait TI:
Tujuan terkait TI Metrik Terkait
01 Penyelarasan TI dan strategi bisnis s0ERCENTOFENTERPRISESTRATEGICGOALSANDPERSYARATANDIDUKUNG OLEH)4

tujuan strategis
s,PERKEMBANGAN PEMEGANG PEMEGANG PASANG KEPUASAN TERHADAP LINGKUPPENGENCANAANPORTFOLIOOF
program dan layanan

s0ERCENTOF)4VALUEDRIVERSPEPEDTOBUSINESSVALUEDRIVERS

akuntabilitas untuk keputusan TI
s.UMBEROFTIMES)4ISONTHEBOARDAGENDAINAPROAKTIFMANNER
s&REQUENCYOF)4STRATEGY EXECUTIVECOMMITTEEMEETINGS
s2ATEOFEXECUTIONOFEXECUTIVE)4 KEPUTUSAN TERKAIT
07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis s.UMBEROFBUSINESSGANGGUANSDUETO)4SERVICEINSIDENT

s0ERCENTOFBUSINESSSTAKEHOLDERSPUASHAT)4LAYANANPENGIRIMANMEET
tingkat layanan yang disepakati
s0ERCENTOFUSERSPUAS DENGAN KUALITAS)4LAYANAN PENGIRIMAN
Sasaran dan Metrik Proses
Tujuan Proses Metrik Terkait
1. Model pengambilan keputusan strategis untuk TI yang efektif dan selaras dengan s!TargetCLETIMEFORKUNCI KEPUTUSAN TARGET KUALITAS
THEENTERPRISE SINTERNALANDEXTERNALENVIRONMENTANDSTAKEHOLDER s, KEPUASAN PEMEGANG PENGEMBANGAN DIUKUR MELALUI SURVEI
persyaratan.
2. Sistem tata kelola TI tertanam di perusahaan. s.UMBEROFROLES TANGGUNG JAWAB DAN OTORITAS YANG DITENTUKAN
ditugaskan dan diterima oleh manajemen bisnis dan TI yang sesuai
s$SYARAT YANG DISETUJUI SELAMA PEMERINTAHANPRINCIPLEFUN)4AREEVIDENCES
dalam proses dan praktik (persentase proses dan praktik dengan
ketertelusuran yang jelas ke prinsip)
s.UMBEROFINSTANCESOFNON KEPATUHAN DENGANTHICALANDPROFESIONAL
pedoman perilaku
3. Didapatkan jaminan bahwa sistem tata kelola TI telah s&REQUENCYOFINEDENTERTINJAUANSOFTATA KELOLA)4

beroperasi secara efektif. S&REQUENCYOFGOVERNANCE)4PELAPORAN KEPADA KOMITE EKSEKUTIF
dan papan
s.UMBEROFGOVERNANCEOF)4ISU DILAPORAN
Bagan RACI EDM01
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
Praktik Tata Kelola Utama
EDM01.01
Mengevaluasi ARCCR R C CCCCCCRCCC
sistem pemerintahan.
EDM01.02
ARCCR IRI Saya DI SINI Saya Saya I CCRC IIIIII
Mengarahkan sistem pemerintahan.
EDM01.03
ARCCR IRI Saya DI SINI Saya Saya I CCRC IIIIII
Memantau sistem tata kelola.

EDM01 Proses Praktek, Input/Output dan Kegiatan
Praktik Tata Kelola Masukan Keluaran
EDM01.01 Mengevaluasi sistem pemerintahan. Dari Keterangan Keterangan Ke
#ONTINUALLYIDENTIFYANDENGAGEwithTHEENTERPRISE S
MEA03.02 Komunikasi tentang Prinsip panduan tata kelola Semua EDM
pemangku kepentingan, mendokumentasikan pemahaman
persyaratan kepatuhan perusahaan APO01.01
tentang PERSYARATANSANDMAKEAJUDGEMENTONTHECURRENTAND
yang diubah APO01.03
desain masa depan tata kelola TI perusahaan.
Di luar "USINESSENVIRONMENT" COBIT Model pengambilan keputusan Semua EDM
tren APO01.01
s2PERATURAN
Tingkat otoritas Semua EDM
KEPUTUSAN OVERNANCE
APO01.02
membuat model
s#PERATURAN PERUNDANG-
UNDANGAN statuta organisasi
Kegiatan
1. Menganalisis dan mengidentifikasi faktor lingkungan internal dan eksternal (kewajiban hukum, peraturan dan kontrak) dan tren dalam bisnis
lingkungan yang dapat mempengaruhi desain tata kelola.
2. Menentukan signifikansi TI dan perannya dalam kaitannya dengan bisnis.
3. Mempertimbangkan peraturan eksternal, undang-undang dan kewajiban kontrak dan menentukan bagaimana mereka harus diterapkan dalam tata kelola TI perusahaan.
4. Menyelaraskan penggunaan dan pemrosesan informasi secara etis dan dampaknya terhadap masyarakat, lingkungan alam, dan kepentingan pemangku kepentingan internal dan eksternal dengan
SIRECTIONGOALSANDOBJECTIVES THEENTERPRISE SDIRECTIONGOALSANDOBJECTIVES
5. Menentukan implikasi dari lingkungan pengendalian perusahaan secara keseluruhan berkaitan dengan TI.
6. Mengartikulasikan prinsip-prinsip yang akan memandu desain tata kelola dan pengambilan keputusan TI.
5PAHAMI PEMBUATAN KEPUTUSAN KEPUTUSAN ENTERPRISE BUDAYA DAN TEKAD PEMBUATAN MODEL PEMBUATAN KEPUTUSAN OPTIMASI)4
8. Menentukan tingkat pendelegasian wewenang yang sesuai, termasuk aturan ambang batas, untuk keputusan TI.
EDM01.02 Mengarahkan sistem pemerintahan. Dari Keterangan Keterangan Ke
Beri tahu para pemimpin dan dapatkan dukungan, persetujuan,

Komunikasi tata kelola Semua EDM
dan komitmen mereka. Memandu struktur, proses, dan praktik tata
perusahaan APO01.04
kelola TI sesuai dengan prinsip desain tata kelola yang disepakati, model
pengambilan keputusan, dan tingkat otoritas. Mendefinisikan informasi Pendekatan sistem penghargaan APO07.03
yang dibutuhkan untuk pengambilan keputusan yang tepat. APO07.04
Kegiatan
1. Mengkomunikasikan tata kelola prinsip-prinsip TI dan setuju dengan manajemen eksekutif tentang cara membangun kepemimpinan yang terinformasi dan berkomitmen.
2. Menetapkan atau mendelegasikan pembentukan struktur, proses, dan praktik tata kelola sesuai dengan prinsip desain yang disepakati.
3. Mengalokasikan tanggung jawab, wewenang dan akuntabilitas sesuai dengan prinsip-prinsip desain tata kelola yang disepakati, model pengambilan keputusan dan pendelegasian.
4. Pastikan bahwa mekanisme komunikasi dan pelaporan memberikan informasi yang tepat kepada mereka yang bertanggung jawab atas pengawasan dan pengambilan keputusan.
5. Mengarahkan agar staf mengikuti pedoman yang relevan untuk perilaku etis dan profesional dan memastikan bahwa konsekuensi dari ketidakpatuhan diketahui
dan ditegakkan.
6. Mengarahkan pembentukan sistem penghargaan untuk mempromosikan perubahan budaya yang diinginkan.

BAB 5
EDM01 Proses Praktik, Input/Output dan Kegiatan (lanjutan)
EDM01.03 Memantau sistem tata kelola. Dari Keterangan Keterangan Ke

Memantau efektivitas dan kinerja ENTERPRISE
MEA01.04 Laporan kinerja Umpan balik tentang efektivitas Semua EDM
SGOVERNANCEOF)4 !SSESSAPAKAH
dan kinerja tata kelola APO01.07
sistem tata kelola dan mekanisme yang diterapkan (termasuk MEA01.05 Status dan hasil tindakan
struktur, prinsip, dan proses) beroperasi secara efektif dan
memberikan pengawasan TI yang sesuai.
MEA02.01 s2ESULTSOFBENCHMARKING
dan evaluasi lainnya
s2ESULTSOFINTERNAL
kontrol pemantauan dan

ulasan
MEA02.03 Hasil review penilaian diri
MEA02.06 Rencana jaminan
MEA03.03 Konfirmasi kepatuhan
MEA03.04 s2EPORT SOF

masalah ketidakpatuhan
dan akar penyebabnya
s#JAMINAN KEPATUHAN
laporan
Di luar COBIT s/BLIGASI

s!UDITREPORTS
Kegiatan
1. Menilai efektivitas dan kinerja para pemangku kepentingan yang diberikan tanggung jawab dan wewenang yang didelegasikan untuk tata kelola TI perusahaan.
2. Secara berkala menilai apakah tata kelola mekanisme TI yang disepakati (struktur, prinsip, proses, dll.) telah ditetapkan dan beroperasi secara efektif.
3. Menilai efektivitas desain tata kelola dan mengidentifikasi tindakan untuk memperbaiki setiap penyimpangan yang ditemukan.
4. Menjaga pengawasan sejauh mana TI memenuhi kewajiban (peraturan, undang-undang, hukum umum, kontrak), kebijakan internal, standar dan
pedoman profesional.
0ROVIDEPENGAWAS KEEFEKTIFANSOFANDKEPATUHAN DENGAN SISTEM KONTROL ENTERPRISE
6. Memantau mekanisme reguler dan rutin untuk memastikan bahwa penggunaan TI sesuai dengan kewajiban yang relevan (peraturan, undang-undang, hukum umum,
kontrak), standar dan pedoman.
Panduan Terkait EDM01
Standar Terkait Referensi terperinci
Komite Organisasi Sponsor Komisi Treadway

(COSO)
)3/ )%#
s
Raja III 4 HEBOARD HARUS BERTANGGUNG JAWAB UNTUK TEKNOLOGI INFORMASI ) 4 TATA
s
KELOLA 4 HEBOARD HARUS DELEGASI MANAJEMENTERTANGGUNG JAWAB TERHADAP PELAKSANAANFAN
kerangka tata kelola TI.
Organisasi untuk Kerjasama Ekonomi dan Prinsip Tata Kelola Perusahaan

Pembangunan (OECD)


BAB 5
Area: Pemerintahan
EDM02 Pastikan Pengiriman Manfaat Domain: Evaluasi, Langsung dan Pantau
Deskripsi Proses
Mengoptimalkan kontribusi nilai ke bisnis dari proses bisnis, layanan TI, dan aset TI yang dihasilkan dari investasi yang dilakukan oleh TI dengan biaya yang dapat diterima.

Mengamankan nilai optimal dari inisiatif, layanan, dan aset yang mendukung TI; pengiriman solusi dan layanan yang hemat biaya; dan gambaran yang andal dan akurat tentang biaya dan kemungkinan manfaat
sehingga kebutuhan bisnis didukung secara efektif dan efisien.

sasaran strategis s,KEMBANGKAN PEMEGANG PEMEGANG KEPUASAN TERHADAP
SCOPEOFTHELANNEDPORTFOLIOOF program dan layanan
s0ERCENTOF)4VALUEDRIVERSMAPEDTOBUSINESSVALUEDRIVERS
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASIWENEFITREALISATIONDIMONITORING melalui siklus
hidup ekonomi penuh s0ERCENTOF)4LAYANANSHEREEDENEFITSARREALISATION

s0ERCENTOF)4 AKTIFKAN INVESTMENTSHERECLAIMEDBENEFITAREMET
TERLEBIH DAHULU
06 Transparansi biaya, manfaat dan risiko TI s0ERCENTOINVESTMENTKASUS USAHADITENTUKAN DENGAN JELAS DAN DISETUJUI
YANG DIHARAPKAN)4 BIAYA TERKAITSANDBMANFAAT
s0ERCENTOF)4LAYANANDITENTUKAN DENGAN JELAS DAN DISETUJUI OPERASIONAL
BIAYA DAN MANFAAT YANG
DIHARAPKAN s3SURVEI KEPUASAN KUNCI PEMEGANG PEMANGKU KUNCI
TENTANG TINGKAT transparansi, pemahaman, dan keakuratan informasi keuangan TI
$ELIVERYOF)4LAYANANSINLINEDENGAN PERSYARATAN BISNIS s.UMBEROFBUSINESSGANGGUANSDUETO)4INSIDEN LAYANAN

s0ERCENTOFBUSINESSSTAKEHOLDERPUAS)4LAYANANPENGIRIMAN MEMENUHI tingkat
layanan yang disepakati s0ERCENTOFUSERSPUAS DENGAN KUALITASNYA)4LAYANAN
PENYIMPANAN
+SEKARANG AHLI DAN INOVASI UNTUK INOVASI BISNIS s,EVELOFBUSINESSEXECUTIVEAWARENESSANDUNDERSTANDINGOF)4

kemungkinan inovasi s,EVELOFSTAKEHOLDERSKEPUASAN DENGAN
LEVELSOF)4INNOVATIONEXPERTISE
dan ide-ide
s.UMBEROFAPPROVEDINIATIVESHASILFROMINNOVATIVE)4IDEAS
1. Perusahaan mengamankan nilai optimal dari portofolionya yang disetujui s,EVELOFEXECUTIVEMANAGEMENTSATISFACTIONwith)4 SVALUEDELIVERY
Inisiatif, layanan, dan aset yang mendukung TI. dan biaya
s$EVIATIONBETWEENTARGETANDACTUALINVESTMENTCAMPURAN
s,EVELOFSTAKEHOLDERSFAKSI DENGAN KESABARAN PERUSAHAAN UNTUK
MENDAPATKAN nilai dari inisiatif yang mendukung TI
2. Nilai optimal diperoleh dari investasi TI melalui nilai efektif s.UMBEROFINCIDENTSTOCCURDUETOACTUALORATTEMPTEDCIRCUVENTION dari prinsip dan
praktik manajemen di perusahaan. praktik manajemen nilai yang mapan
s0ERCENTOF)4INITIATIVESINTHEOVERALLPORTFOLIOWHEREINSBEING
dikelola melalui siklus hidup penuh, KEPUASAN
3. Investasi berkemampuan TI individual memberikan kontribusi nilai yang optimal. PEMEGANG PEMEGANG KEMAMPUAN DENGAN PROGRESSTOWARDSIDENTIFIEDGOALS
DENGAN NILAI PENGIRIMAN BERDASARKAN
SURVEI s0ERCENTOFEXPECTEDVALUEREALISED

Bagan RACI EDM02
Arahkan,
Evaluasi,
Pantau
dan
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
EDM02.01
ARRCR R CC CCCCCCRCCC
Mengevaluasi optimasi nilai.
EDM02.02
ARRCR IRI Saya Saya Saya Saya Saya Saya Saya Saya saya RC saya Saya Saya Saya Saya Saya Saya
Optimasi nilai langsung.
EDM02.03
ARRCR R RCCCCCCCRCCC
Memantau optimasi nilai.
EDM02.01 Evaluasi optimasi nilai. Dari Keterangan Keterangan Ke
Terus mengevaluasi portofolio investasi, layanan, dan aset

APO02.05 Peta jalan strategis Evaluasi keselarasan strategis APO02.04
yang mendukung TI untuk menentukan
APO05.03
LIKELIHOODOFACHIEVINGENTERPRISEOBJECTIVESAND
memberikan nilai dengan biaya yang wajar. Mengidentifikasi dan membuat APO05.02 Ekspektasi pengembalian Evaluasi portofolio investasi dan APO05.03
PENILAIAN TERHADAP PERUBAHAN INDIREKSI YANG PERLU DIPERLUKAN investasi jasa APO05.04
diberikan kepada manajemen untuk mengoptimalkan penciptaan nilai. APO06.02

APO05.03 Program terpilih dengan pencapaian
laba atas investasi (ROI)
APO05.06 Hasil manfaat dan komunikasi

terkait
BAI01.06 Hasil tinjauan gerbang panggung
Kegiatan
1. Memahami persyaratan pemangku kepentingan; isu-isu strategis TI, seperti ketergantungan pada TI; dan wawasan teknologi dan kemampuan mengenai aktual dan
POTENSISIGNIFIKANSI)4STRATEGI ENTERPRISE UTAMA
2. Memahami elemen kunci tata kelola yang diperlukan untuk penyampaian nilai optimal yang andal, aman, dan hemat biaya dari penggunaan dan
layanan, aset, dan sumber daya TI baru.
3. Memahami dan secara teratur mendiskusikan peluang yang dapat muncul dari perubahan perusahaan yang dimungkinkan oleh teknologi saat ini, baru atau yang muncul, dan
mengoptimalkan nilai yang diciptakan dari peluang tersebut.
4. Memahami apa yang membentuk nilai bagi perusahaan, dan mempertimbangkan seberapa baik nilai itu dikomunikasikan, dipahami, dan diterapkan di seluruh
PROSES PERUSAHAAN
5. Mengevaluasi seberapa efektif strategi perusahaan dan TI telah diintegrasikan dan diselaraskan di dalam perusahaan dan dengan tujuan perusahaan untuk
memberikan nilai.
6. Memahami dan mempertimbangkan seberapa efektif peran, tanggung jawab, akuntabilitas, dan badan pembuat keputusan saat ini dalam memastikan penciptaan nilai dari
Investasi, layanan, dan aset yang mendukung TI.
7. Pertimbangkan seberapa baik pengelolaan investasi, layanan, dan aset yang mendukung TI sejalan dengan manajemen nilai dan keuangan perusahaan
praktek manajemen.
%VALUTEPORTFOLIOOINVESTMENTSSERVICESANDASSETSFORALIGNMENTDENGAN STRATEGI ENTERPRISE TUJUAN ENTERPRISEWORTHBOTHFINANCIALAND

non-keuangan; risiko, baik risiko pengiriman maupun risiko manfaat; keselarasan proses bisnis; efektivitas dalam hal kegunaan, ketersediaan dan daya tanggap; dan efisiensi dalam hal biaya, redundansi
dan kesehatan teknis.

BAB 5
EDM02.02 Optimasi nilai langsung. Dari Keterangan Keterangan Ke

Prinsip dan praktik manajemen nilai langsung untuk
Jenis dan kriteria investasi APO05.01
memungkinkan realisasi nilai optimal dari investasi yang
APO05.03
mendukung TI di sepanjang siklus hidup ekonomi penuhnya.
Persyaratan untuk BAI01.01
tinjauan gerbang panggung
Kegiatan
1. Tentukan dan komunikasikan portofolio dan jenis investasi, kategori, kriteria, dan bobot relatif terhadap kriteria untuk memungkinkan relatif keseluruhan
nilai skor.
2. Tetapkan persyaratan untuk gerbang tahap dan tinjauan lain untuk signifikansi investasi bagi perusahaan dan risiko terkait, jadwal program, rencana pendanaan, dan penyampaian
kemampuan dan manfaat utama serta kontribusi berkelanjutan terhadap nilai.
3. Mengarahkan manajemen untuk mempertimbangkan potensi penggunaan TI yang inovatif yang memungkinkan perusahaan merespons peluang atau tantangan baru, melakukan
bisnis baru, meningkatkan daya saing, atau memperbaiki proses.
4. Mengarahkan setiap perubahan yang diperlukan dalam penugasan akuntabilitas dan tanggung jawab untuk melaksanakan portofolio investasi dan memberikan nilai dari proses
dan layanan bisnis.
5. Tetapkan dan komunikasikan tujuan penyampaian nilai tingkat perusahaan dan ukuran hasil untuk memungkinkan pemantauan yang efektif.
$IRECTANYREQUIREDCHANGESTOPORTFOLIOOINVESTMENTSANDSERVICESTOREALIGNWRRENTANDEXPECTEDENTERPRISEOBJEKTIFDAN ATAUKENDALA
7. Merekomendasikan pertimbangan inovasi potensial, perubahan organisasi atau perbaikan operasional yang dapat mendorong peningkatan nilai bagi
perusahaan dari inisiatif yang mendukung TI.
EDM02.03 Memantau optimasi nilai. Dari Keterangan Keterangan Ke

Pantau sasaran dan metrik utama untuk menentukan sejauh
APO05.04 Laporan kinerja portofolio Umpan balik tentang kinerja APO05.04
mana bisnis menghasilkan nilai dan manfaat yang diharapkan bagi
investasi portofolio dan program APO06.05
perusahaan dari investasi dan layanan yang mendukung TI.
BAI01.06
Identifikasi masalah yang signifikan dan pertimbangkan tindakan
korektif. Tindakan untuk meningkatkan EDM05.01
penyampaian nilai APO05.04
APO06.02
BAI01.01
Kegiatan
$EFINEABALANCEDSETOFPERFORMANCEOBJECTIVESMETRICSTARGETSANDBENCHMARKS -ETRICSHARUSAKTIVITAS LEBIH LANJUTDAN HASIL HASIL TERMASUK

indikator memimpin dan tertinggal untuk hasil, serta keseimbangan yang tepat dari ukuran keuangan dan non-keuangan. Tinjau dan setujui dengan TI dan fungsi bisnis lainnya, dan
pemangku kepentingan terkait lainnya.
2. Mengumpulkan data yang relevan, tepat waktu, lengkap, kredibel dan akurat untuk melaporkan kemajuan dalam memberikan nilai terhadap target. Dapatkan tampilan portofolio,
program, dan kinerja TI (kemampuan teknis dan operasional) yang ringkas, tingkat tinggi, menyeluruh yang mendukung pengambilan keputusan, dan memastikan bahwa hasil yang
diharapkan tercapai.
/BTAINREGULERANDRELEVANTPORTFOLIOPROGRAMMEAND)4 TEKNOLOGILANDUKUNGAN LAPORAN KINERJA FUNGSI 2EVIEWTHEENTERPRISEPROGRESSTOWARDS

DIIDENTIFIKASI SASARANDANDHEXTENTTOWICHPLANNEDOBJECTIVESAVEBEENACHIEVEDELIVERABLEDIPEROLEH KINERJA TARGETSMETAND
risiko dimitigasi.
4. Setelah meninjau laporan, ambil tindakan manajemen yang sesuai sebagaimana diperlukan untuk memastikan bahwa nilai dioptimalkan.
5. Setelah meninjau laporan, pastikan bahwa tindakan korektif manajemen yang tepat dimulai dan dikendalikan.
COSO
)3/ )%#
s
Raja III )4HARUS SESUAI DENGAN TUJUAN KINERJA DAN KEBERLANJUTAN PERUSAHAAN
s
4HEBOARDHARUS MEMANTAU DAN MENGEVALUASISIGNIFIKAN)4INVESTASIDAN PENGELUARAN


BAB 5
Arahkan,
Evaluasi,
Pantau
dan EDM03 Pastikan Optimasi Risiko
Deskripsi proses
Area: Pemerintahan
% PASTI BAHWATHEENTERPRISE SRISKAPPETITEDANTOLERANSIPENGERTIANDIPERHATIKANDAN DIKOMUNIKASIDAN BAHWA RISIKO TERHADAP NILAI ENTERPRISE TERKAIT DENGAN PENGGUNAAN
TI diidentifikasi dan dikelola.

Pastikan bahwa risiko perusahaan terkait TI tidak melebihi selera risiko dan toleransi risiko, dampak risiko TI terhadap nilai perusahaan diidentifikasi dan dikelola, dan potensi kegagalan
kepatuhan diminimalkan.
04 Risiko bisnis terkait TI yang dikelola s0ERCENTOFCRITICALBUSINESSPROCESSES)4SERVICESAND)4 DIAKTIFKAN

program bisnis yang dicakup oleh penilaian risiko
s.UMBEROFSIGNIFICANT)4 RELATEDINCIDENTWRENOTIDENTIFIEDIN
tugas beresiko
s0ERCENTOFENTERPRISERISKASSESSMENT TERMASUK)4 RELATEDRISKES
s&REQUENCYOFUPDATEORRISKPROFIL
biaya dan manfaat terkait TI yang diharapkan
biaya dan manfaat yang diharapkan
s3SURVEI KEPUASAN KUNCI PEMEGANG PEMANGKU KEPENTINGAN TENTANG ELEVELOF
transparansi, pemahaman, dan keakuratan informasi keuangan TI
10 Keamanan informasi, infrastruktur pemrosesan dan aplikasi s.UMBEROFSECURITYINSIDENTMENGEMBULKAN KERUGIAN KEUANGAN GANGGUAN USAHA
atau rasa malu publik
s.UMBEROF)4LAYANAN TANPA PERSYARATAN KEAMANAN
s4IMETOGRANTHANGEANDREMOVEAKSES HAK ISTIMEWADIBANDINGKAN
s&REKUENSI PENILAIAN KEAMANANLAGAINSSTANDARDSANDGUIDELINES TERBARU
15 Kepatuhan TI dengan kebijakan internal s.UMBEROFINCIDENTSRELATEDTONON COMPLIANCETOPOLICY

s0ERCENTOFSTAKEHOLDERSPENGERTIAN KEBIJAKAN
s0ERCENTOFPOLICIESSDUKUNG OLEH STANDAR EFEKTIF DAN PRAKTEK KERJA
s&REQUENCYOFPOLICIESTINJAUANANDUPDATE
1. Ambang batas risiko ditetapkan dan dikomunikasikan serta risiko utama terkait TI s,EVELOFALIGNMENTANTARA)4RISK CANDENDERPRICERISK
dikenal. s.UMBEROFPOTENSIAL)4RISKIDENTIFIEDANDMANAGED
s2FRESHMENTRATEOFRISKFACTOREVALUASI
2. Perusahaan mengelola risiko kritis perusahaan terkait TI secara efektif dan efisien. s0ERCENTOFENTERPRISEPROJECTSTHATCONSIDER)4RISK
s0ERCENTOF)4RENCANA TINDAKAN RISIKO DILAKSANAKAN PADA WAKTU
s0ERCENTOFCRRITICALRISKT YANG TELAH EFEKTIF DIMITIGASIKAN
3. Risiko perusahaan terkait TI tidak melebihi selera risiko dan dampak risiko TI terhadap s,EVELOFUNEXPECTEDENTERPRISEIMPACT
nilai perusahaan diidentifikasi dan dikelola. s0ERCENTOF)4RISKTATEXCEEDSENTERPRISERISKTOLERANSI
Bagan RACI EDM03
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
EDM03.01
ARCCRCR I RC I CCCRC C
Mengevaluasi manajemen risiko.
EDM03.02
ARCCRCR I Saya INI Saya I CCCRC IIIIII
Manajemen risiko langsung.
EDM03.03
ARCCRCR I Saya Dalam RR I Saya CCCRC Saya Saya Saya Saya saya IC
Memantau manajemen risiko.

EDM03.01 Mengevaluasi manajemen risiko. Dari Keterangan Keterangan Ke

#ONTINUALLYEXAMINEANDMAKEJudgeMENTONTHE
APO12.01 Masalah dan faktor risiko Panduan selera risiko APO12.03
pengaruh risiko pada penggunaan TI saat ini dan di masa mendatang
yang muncul
di THEENTERPRISE #ONSIDERWHETHERTHEENTERPRISE SRSK Tingkat toleransi risiko yang APO12.03
selera sesuai dan risiko terhadap nilai perusahaan yang terkait disetujui
dengan penggunaan TI diidentifikasi dan dikelola.
Di luar prinsip manajemen risiko COBIT Evaluasi kegiatan APO12.01
Enterprise manajemen risiko
Kegiatan
$ETERMINETHELEVELOF)4 RISIKO TERKAIT BAHWATHEENTERPRISEISWILLINGTOTAKETOMEETITS RISIKO TUJUAN
%VALUATEDAN DISETUJUIDIusulkan)4TOLERANSI RISIKOTHRESHOLDSAGAINSTTHTHHEENTERPRISE SACCEPTABLERISKANDOPPORTUNITYLEVELS
3. Menentukan sejauh mana keselarasan strategi risiko TI dengan strategi risiko perusahaan.
4. Secara proaktif mengevaluasi faktor risiko TI sebelum keputusan strategis perusahaan yang tertunda dan memastikan bahwa keputusan perusahaan yang sadar risiko telah dibuat.
$ETERMINETHAT)4USEISSUBJECTTOAPESSESMEN DANEVALUASI SESUATU RISIKO YANG TEPAT SEBAGAIDESKRIBEDINRELEVANTSTANDAR INTERNASIONAL DANSTANDAR NASIONAL
%VALUATERISKMANAJEMENAKTIVITASTOENSUREALIGNMENTDENGAN KAPASITAS PERUSAHAAN UNTUK)4 TERKAIT KERUGIAN DAN PENYIMPANAN KEPEMIMPINANOFIT
EDM03.02 Manajemen risiko langsung. Dari Keterangan Deskripsi Ke

Mengarahkan penetapan praktik manajemen risiko untuk
APO12.03 Profil risiko gabungan, Kebijakan manajemen risiko APO12.01
memberikan jaminan yang wajar bahwa praktik manajemen risiko
termasuk status tindakan
TI sesuai untuk memastikan BAHWA YANG SEBENARNYA) + EYOBJECTIVESTOBE APO12.01
manajemen risiko
dipantau untuk
selera risiko. manajemen risiko
Di luar profil COBIT Enterprise risk Proses yang disetujui APO12.01

management (ERM) dan untuk mengukur
rencana mitigasi manajemen risiko
Kegiatan
1. Mempromosikan budaya sadar risiko TI dan memberdayakan perusahaan untuk secara proaktif mengidentifikasi risiko TI, peluang, dan potensi dampak bisnis.
2. Mengarahkan integrasi strategi dan operasi risiko TI dengan keputusan dan operasi risiko strategis perusahaan.
3. Mengarahkan pengembangan rencana komunikasi risiko (mencakup semua tingkat perusahaan) serta rencana tindakan risiko.
4. Implementasi langsung dari mekanisme yang tepat untuk merespon dengan cepat terhadap perubahan risiko dan segera melaporkan ke tingkat manajemen yang sesuai,
didukung oleh prinsip-prinsip eskalasi yang disepakati (apa yang harus dilaporkan, kapan, di mana, dan bagaimana).
5. Mengarahkan bahwa risiko, peluang, masalah, dan kekhawatiran dapat diidentifikasi dan dilaporkan oleh siapa saja kapan saja. Risiko harus dikelola sesuai dengan
kebijakan dan prosedur yang diterbitkan dan dieskalasi ke pengambil keputusan yang relevan.
6. Mengidentifikasi tujuan utama dan metrik dari tata kelola risiko dan proses manajemen yang akan dipantau, dan menyetujui pendekatan, metode, teknik dan proses untuk menangkap
dan melaporkan informasi pengukuran.

BAB 5
EDM03.03 Memantau manajemen risiko. Dari Keterangan Keterangan Ke

Memantau tujuan utama dan metrik dari proses
APO12.02 Hasil analisis risiko Tindakan perbaikan APO12.06
manajemen risiko dan menetapkan bagaimana penyimpangan
untuk mengatasi penyimpangan
atau masalah akan diidentifikasi, dilacak dan dilaporkan untuk
manajemen risiko
perbaikan.
APO12.04 s/PPORTUNITIESFOR Masalah manajemen risiko EDM05.01
penerimaan risiko untuk dewan
yang lebih besar
s2ESULTPIHAK KETIGA
penilaian risiko
ANALISIS DAN RISIKO s2ICE
laporan profil untuk
pemangku kepentingan
Kegiatan
1. Memantau sejauh mana profil risiko dikelola dalam batas risk appetite.
2. Memantau tujuan utama dan metrik dari tata kelola risiko dan proses manajemen terhadap target, menganalisis penyebab penyimpangan, dan memulai
tindakan perbaikan untuk mengatasi penyebab yang mendasarinya.
%NABLEKEYSTAKEHOLDERS REVIEWOFTHEENTERPRISE PROGRESSTOWARDSIDENTIFIEDGOALS
4. Melaporkan setiap masalah manajemen risiko kepada dewan atau komite eksekutif.
#/3/ %2-
)3/ )%# Kerangka Kerja Manajemen Risiko
)3/ )%#
s
Raja III )4HARUS MEMBANTU SEBAGIAN MANAJEMEN RISIKO PERUSAHAAN !
s
KOMITE RISIKO DAN KOMITE AUDIT HARUS MEMBANTU PAPAN MELAKUKANNYA)4 TANGGUNG JAWAB


BAB 5
Arahkan,
Evaluasi,
Pantau
dan EDM04 Pastikan Pengoptimalan Sumber Daya
Deskripsi proses
Area: Pemerintahan
%NSURETHATACUKUP DAN CUKUP)4 KEMAMPUAN TERKAIT PROSES DAN TEKNOLOGI TERSEDIA UNTUK MENDUKUNG ENTERPRISE TUJUAN SECARA EFEKTIF
biaya optimal.

Memastikan bahwa kebutuhan sumber daya perusahaan terpenuhi secara optimal, biaya TI dioptimalkan, dan ada kemungkinan peningkatan realisasi manfaat dan kesiapan untuk perubahan di masa
depan.
09 kelincahan TI s,PERKEMBANGAN KEPUASAN EKSEKUTIF BISNIS)4 RESPONSIFNESSTO

persyaratan baru
s.UMBEROFCRITICALBUSINESSPROCESSESSDIDUKUNG OLEH HINGGA TANGGAL
infrastruktur dan aplikasi
s!VERAGETIMETOTURNSTRATEGIC)4OBJEKTIFSINGKAT SETUJU
inisiatif yang disetujui
11 Optimalisasi aset, sumber daya, dan kemampuan TI PENILAIAN KEMATIAN DAN KOSTOPTIMISASI KEMATIAN DAN PERMINTAAN
s4RENDOFASSESSMENTHASIL
s3TINGKAT KEPUASAN BISNISDAN)4EKSEKUTIF DENGAN)4 BIAYA TERKAIT
dan kemampuan
16 Personel bisnis dan TI yang kompeten dan termotivasi s0ERCENTOFSTAFFyang)4 KETERAMPILAN TERKAITCUKUPUNTUK KOMPETENSI
diperlukan untuk peran mereka
s0ERCENTOFSTAFFPUAS DENGAN MEREKA)4 PERAN TERKAIT
s.UMBEROFLEARNING TRAININGHOURSPERSTAFFMEMBER
1. Kebutuhan sumber daya perusahaan terpenuhi dengan kemampuan yang optimal. s,EVELOFSTAKEHOLDERFEEDBACKONRESOURCEOPTIMISATION
s.UMBEROFBMANFAAT misal HEMAT BIAYA DICAPAI MELALUI
pemanfaatan sumber daya
s.UMBEROFDEVIATIONFROMTHERCEPLANDENTERPRISE
strategi arsitektur
2. Sumber daya dialokasikan untuk memenuhi prioritas perusahaan sesuai anggaran s.UMBEROFDEVIATIONSFROMANDEXCEPTIONSTORESOURCE
kendala. prinsip manajemen
s0ERCENTOFPROJECTS DENGAN ALOKASI SUMBER DAYA YANG TEPAT
3. Penggunaan sumber daya yang optimal dicapai secara penuh KOMPONEN KOMPONEN FARSITEKTUR PENGGUNAAN LEBIH CEPAT
siklus hidup ekonomi. s0ERCENTOFPROJECTSANDPROGRAMMESWITHAMEDIUM ORHIGH RISKSTATUS

karena masalah pengelolaan sumber daya
s.UMBEROFRESOURCEMANAGEMENTPERFORMANCETARGETSREALISED
Bagan RACI EDM04
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
EDM04.01
ARCCR R Saya CCCCCCCCRCCC
Mengevaluasi manajemen sumber daya.
EDM04.02
ARCCR IRI Saya Saya Saya Saya Saya Saya Saya Saya saya RC saya Saya Saya Saya Saya Saya Saya
Manajemen sumber daya langsung.
EDM04.03
ARCCR IRI Saya 1 333 33 43
Memantau manajemen sumber daya.

EDM04.01 Mengevaluasi manajemen sumber daya. Dari Keterangan Keterangan Ke
APO02.04 Kesenjangan dan perubahan Prinsip-prinsip panduan APO02.01
kebutuhan saat ini dan masa depan untuk sumber daya
yang diperlukan untuk mewujudkan untuk alokasi sumber daya dan APO07.01
terkait TI, opsi untuk sumber daya (termasuk strategi sumber), dan
kemampuan target kemampuan BAI03.11
prinsip alokasi dan manajemen untuk memenuhi kebutuhan
perusahaan secara optimal. APO07.03 Rencana pengembangan keterampilan Prinsip panduan untuk APO03.01
arsitektur perusahaan
APO10.02 Hasil keputusan evaluasi pemasok Rencana sumber daya yang disetujui APO02.05
APO07.01
APO09.02
Kegiatan
%XAMINEANDMEMBUAT PENILAIANONTHECURrentANDFUTURESTRATEGYOPTIONFORPROVIDING)4RESOURCESANDDEMBANGKAN KEMAMPUANTOMEETCURRENT

kebutuhan dan kebutuhan masa depan (termasuk pilihan sumber).
2. Menentukan prinsip-prinsip untuk memandu alokasi dan pengelolaan sumber daya dan kapabilitas sehingga TI dapat memenuhi kebutuhan perusahaan, dengan:
kemampuan dan kapasitas yang dibutuhkan sesuai dengan prioritas yang telah disepakati dan kendala anggaran.
3. Meninjau dan menyetujui rencana sumber daya dan strategi arsitektur perusahaan untuk memberikan nilai dan mengurangi risiko dengan sumber daya yang dialokasikan.
4. Memahami persyaratan untuk menyelaraskan manajemen sumber daya dengan perencanaan keuangan dan sumber daya manusia (SDM) perusahaan.
5. Mendefinisikan prinsip-prinsip untuk manajemen dan pengendalian arsitektur enterprise.
EDM04.02 Manajemen sumber daya langsung. Dari Deskripsi Keterangan Ke
Pastikan penerapan prinsip-prinsip manajemen sumber daya untuk

Komunikasi strategi APO02.06
memungkinkan penggunaan sumber daya TI secara optimal sepanjang
sumber daya APO07.05
siklus hidup ekonomi penuh mereka.
APO09.02
Tanggung jawab yang diberikan APO01.02
untuk manajemen sumber daya DSS06.03
Prinsip Pengamanan APO01.04

sumber daya
Kegiatan
1. Mengkomunikasikan dan mendorong penerapan strategi manajemen sumber daya, prinsip, dan rencana sumber daya dan perusahaan yang disepakati
strategi arsitektur.
2. Tetapkan tanggung jawab untuk melaksanakan manajemen sumber daya.
3. Tentukan tujuan utama, ukuran dan metrik untuk pengelolaan sumber daya.
4. Menetapkan prinsip-prinsip yang terkait dengan pengamanan sumber daya.
5. Menyelaraskan pengelolaan sumber daya dengan perencanaan keuangan dan SDM perusahaan.
EDM04.03 Memantau manajemen sumber daya. Dari Keterangan Keterangan Ke
Memantau tujuan utama dan metrik dari proses manajemen

Umpan balik tentang alokasi EDM05.01
sumber daya dan menetapkan bagaimana penyimpangan atau
dan efektivitas sumber daya APO02.05
masalah akan diidentifikasi, dilacak dan dilaporkan untuk perbaikan.
dan kemampuan APO07.05
APO09.05
Tindakan perbaikan untuk APO02.05

mengatasi penyimpangan APO07.01
pengelolaan sumber daya APO07.03

APO09.04
Kegiatan
-ONITORTHEALOKASIDAN OPTIMASI SUMBERDAYA SESUAI DENGAN TUJUAN ENTERPRISE DAN PRIORITAS MENGGUNAKAN ONGOALSANDMETRIK YANG SETUJU
2. Memantau strategi sumber TI, strategi arsitektur perusahaan, sumber daya dan kemampuan TI untuk memastikan bahwa kebutuhan saat ini dan masa depan dari
perusahaan dapat terpenuhi.
3. Memantau kinerja sumber daya terhadap target, menganalisis penyebab penyimpangan, dan memulai tindakan perbaikan untuk mengatasi penyebab yang mendasarinya.

BAB 5
)3/ )%#
Raja III 5.6. Dewan harus memastikan bahwa aset informasi dikelola secara efektif.
Forum Arsitektur Grup Terbuka Komponen TOGAF dari Dewan Arsitektur, Tata Kelola Arsitektur, dan Model Kematangan Arsitektur dipetakan
(TOGAF) 9 ke pengoptimalan sumber daya.


BAB 5
Arahkan,
Evaluasi,
Pantau
dan EDM05 Memastikan Transparansi Pemangku Kepentingan
Deskripsi proses
Area: Pemerintahan
Pastikan bahwa kinerja TI perusahaan dan pengukuran serta pelaporan kesesuaian transparan, dengan pemangku kepentingan menyetujui tujuan dan metrik serta tindakan
perbaikan yang diperlukan.

Pastikan komunikasi kepada pemangku kepentingan efektif dan tepat waktu dan dasar pelaporan ditetapkan untuk meningkatkan kinerja, mengidentifikasi
AREASFORIMPERBAIKIDAN KONFIRMASI)4 TUJUAN DAN STRATEGI TERKAIT BERSAMAAN DENGAN STRATEGI ENTERPRISE

akuntabilitas untuk keputusan TI
s.UMBEROFTIMES)4ISONTHEBOARDAGENDAINAPROAKTIFMANNER
s&REQUENCYOF)4STRATEGY EXECUTIVECOMMITTEEMEETINGS
s2ATEOFEXECUTIONOFEXECUTIVE)4 KEPUTUSAN TERKAIT

1. Pelaporan pemangku kepentingan sejalan dengan persyaratan pemangku kepentingan. s$ATEOFLASTREVISIONTORPERSYARATAN PELAPORAN
s0ERCENTOFSTAKEHOLDERSCOVEREDINPERSYARATAN PELAPORAN
2. Pelaporan lengkap, tepat waktu dan akurat. s0ERCENTOFREPORTSTHATARENOTDELIVEREDONTIME

s0ERCENTOFREPORTSCONTAININGINACURACIES
3. Komunikasi efektif dan pemangku kepentingan puas. s, KEPUASAN PEMEGANG PEMEGANG PEMANGKU KEPENTINGAN DENGAN PELAPORAN
s.UMBEROFBREACHESOFWAJIB PELAPORANPERSYARATAN
Bagan RACI EDM05
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
EDM05.01
Mengevaluasi persyaratan pelaporan ARCCC I CCR I Saya
pemangku kepentingan.
EDM05.02
Komunikasi dan ARCCC I CCR I Saya
pelaporan pemangku kepentingan langsung.
EDM05.03
Memantau komunikasi ARCCC I CCR I Saya

EDM05.01 Mengevaluasi persyaratan pelaporan Dari Keterangan Keterangan Ke

EDM02.03 Tindakan untuk meningkatkan Evaluasi persyaratan MEA01.01
penyampaian nilai pelaporan perusahaan
persyaratan saat ini dan masa depan untuk komunikasi
dan pelaporan pemangku kepentingan, termasuk EDM03.03 Masalah manajemen risiko Prinsip pelaporan MEA01.01
persyaratan pelaporan wajib (misalnya, peraturan) dan untuk dewan dan komunikasi
komunikasi kepada pemangku kepentingan lainnya. Menetapkan
EDM04.03 Umpan balik tentang alokasi
prinsip-prinsip komunikasi.
dan efektivitas sumber daya
dan kemampuan
MEA02.08 Lingkup yang disempurnakan
Kegiatan
%XAMINE DAN MEMBUAT PENILAIAN PADA SAAT INI DAN MASA DEPAN PERSYARATAN PELAPORAN WAJIB TERKAIT DENGAN PENGGUNAAN) 4 DALAM PERATURAN
PERUSAHAAN PERATURAN, hukum umum, kontrak), termasuk luas dan frekuensi.
%XAMINEDAN MEMBUAT PENILAIAN PADA SAAT INI DAN MASA DEPAN PERSYARATAN PELAPORAN UNTUK PEMEGANG PEMANGKU KEPENTINGAN LAIN YANG TERKAIT DENGAN PENGGUNAANNYA)4 DALAM
ENTERPRISE termasuk cakupan dan ketentuan.
3. Menjaga prinsip-prinsip komunikasi dengan pemangku kepentingan eksternal dan internal, termasuk format komunikasi dan saluran komunikasi, dan
untuk penerimaan pemangku kepentingan dan penandatanganan pelaporan.
EDM05.02 Komunikasi dan pelaporan pemangku Dari Keterangan Keterangan Ke

kepentingan langsung.
APO12.04 Analisis risiko dan Aturan untuk memvalidasi MEA01.01
Memastikan terjalinnya komunikasi dan pelaporan pemangku
laporan profil risiko untuk dan menyetujui laporan wajib MEA03.04
kepentingan yang efektif, termasuk mekanisme untuk memastikan
kualitas dan kelengkapan informasi, pengawasan pelaporan wajib,
dan menciptakan strategi komunikasi bagi pemangku kepentingan. Pedoman eskalasi MEA01.05
Kegiatan
1. Mengarahkan penetapan strategi komunikasi bagi pemangku kepentingan eksternal dan internal.
2. Mengarahkan implementasi mekanisme untuk memastikan bahwa informasi memenuhi semua kriteria untuk persyaratan pelaporan TI wajib bagi perusahaan.
3. Menetapkan mekanisme validasi dan persetujuan pelaporan wajib.
4. Menetapkan mekanisme eskalasi pelaporan.
EDM05.03 Memantau komunikasi pemangku kepentingan. Dari Keterangan Keterangan Ke

Memantau efektivitas komunikasi pemangku
MEA02.08 s!LAPORAN TINJAUAN JAMINAN Penilaian efektivitas pelaporan MEA01.01
kepentingan. Menilai mekanisme untuk memastikan akurasi,
s!JAMINAN HASIL TINJAUAN MEA03.04
keandalan dan efektivitas, dan memastikan apakah persyaratan
pemangku kepentingan yang berbeda terpenuhi.
Kegiatan
1. Secara berkala menilai efektivitas mekanisme untuk memastikan keakuratan dan keandalan pelaporan wajib.
2. Secara berkala menilai efektivitas mekanisme, dan hasil dari, komunikasi dengan pemangku kepentingan eksternal dan internal.
3. Tentukan apakah persyaratan pemangku kepentingan yang berbeda terpenuhi.
COSO
)3/ )%#
Raja III

BAB 5
ALIGN, RENCANA DAN ORGANISASI (APO)
01 Mengelola kerangka kerja manajemen TI.
02 Mengelola strategi.
03 Mengelola arsitektur perusahaan.
04 Mengelola inovasi.
05 Mengelola portofolio.
06 Mengelola anggaran dan biaya.
07 Mengelola sumber daya manusia.
08 Mengelola hubungan.
09 Kelola perjanjian layanan.
10 Mengelola pemasok.
11 Kelola kualitas.
12 Mengelola risiko.
13 Mengelola keamanan.


BAB 5
Area: Manajemen
APO01 Manage the IT Management Framework Process Domain: Sejajarkan, Rencanakan, dan Atur
Description Memperjelas dan memelihara tata kelola misi dan

visi TI perusahaan. Menerapkan dan memelihara mekanisme dan kewenangan untuk mengelola informasi dan PENGGUNAAN)4PENDUKUNG PENDUKUNG TATA KELOLA TUJUAN
SINLINEDENGAN PRINSIP DAN KEBIJAKAN PANDUAN

Memberikan pendekatan manajemen yang konsisten untuk memungkinkan persyaratan tata kelola perusahaan dipenuhi, yang mencakup proses manajemen, struktur organisasi,
peran dan tanggung jawab, aktivitas yang andal dan dapat diulang, serta keterampilan dan kompetensi.
01 Penyelarasan TI dan strategi bisnis s0ERCENTOFENTERPRISESTRATEGICGOALSANDREQUIREMENTSSUPPORTEDBY)4

strategic goals s,EVELOFSTAKEHOLDERSATISFACTIONWITHSCOPEOFTHEPLANNEDPORTFOLIOOF
programmes and services s0ERCENTOF)4VALUEDRIVERSMAPPEDTOBUSINESSVALUEDRIVERS
s#OSTOF)4NON COMPLIANCEINCLUDINGSETTLEMENTSANDFINESANDTHE impact
of reputational loss s.UMBEROF)4 RELATEDNON
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan COMPLIANCEISSUESREPORTEDTOTHEBOARDOR causing public comment or
eksternal embarrassment s.UMBEROFNON
COMPLIANCEISSUESRELATINGTOCONTRACTUALAGREEMENTS with IT service
providers s#OVERAGEOFCOMPLIANCEASSESSMENTS
s,EVELOFSATISFACTIONOFBUSINESSEXECUTIVESWITH )4 SRESPONSIVENESSTO
persyaratan baru s.UMBEROFCRITICALBUSINESSPROCESSDIDUKUNG BYUP TO
DATE infrastruktur dan aplikasi s!VERAGETIMETOTURNSTRATEGIC)4OBJECTIVESINTOANA
09 kelincahan TI SETUJU DAN inisiatif yang disetujui
11 Optimalisasi aset, sumber daya, dan kemampuan TI s&REQUENCYOFCAPABILITYKedewasaanDANCOSTOPTIMISASI PENILAIAN

s4RENDOFASESSMENTS HASIL PENILAIAN s3TINGKAT
KEPUASANSOFBUSINESSAND)4EXECUTIVESWITH)4 BIAYA DAN KEMAMPUAN
TERKAIT
15 Kepatuhan TI dengan kebijakan internal s.UMBEROFINCIDENTSRELATEDTONON COMPLIANCETOPOLICY

s0ERCENTOFSTAKEHOLDERSWHOUNDERSTANDPOLICIES
s0ERCENTOFPOLICIESSUPPORTEDBYEFFECTIVESTANDARDSAND
working practices s&REQUENCYOFPOLICIESREVIEWANDUPDATE
s0ERCENTOFSTAFFWHOSE)4
16 Personel bisnis dan TI yang kompeten dan termotivasi RELATEDSKILLSARESUFFICIENTFORTHECOMPETENCY required for their role
s0ERCENTOFSTAFFSATISFIEDWITHTHEIR)4 RELATEDROLES s.UMBEROFLEARNING
TRAININGHOURSPERSTAFFMEMBER
s,EVELOFBUSINESSEXECUTIVEAWARENESSANDUNDERSTANDINGOF)4 innovation
17 Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis possibilities s,EVELOFSTAKEHOLDERSATISFACTIONWITHLEVELSOF)4INNOVATIONEXPERTISE
dan ide-ide
1. Seperangkat kebijakan yang efektif ditetapkan dan dipelihara. s0ERCENTOFACTIVEPOLICIESSSTANDARANDOTHERENABLERSDOKUMENTASI

dan up to date s$ATEOFLASTUPDATESTOTHRAMEWORKANDENABLERS
s.UMBEROFRISKEXPOSURESDUETOINADEQUACIESINTHEDESIGNOFTHE
2. Setiap orang mengetahui kebijakan dan bagaimana kebijakan tersebut harus diterapkan. s.UMBEROFSTAFFWHOATTENDEDPELATIHANORAWARENESSSESSIONS
s0ERCENTOFTHIRD PIHAK PEMASOK YANG MEMILIKI KONTRAK
MENDEFINISIKAN persyaratan kontrol

Bagan RACI APO01
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
Praktek Manajemen Kunci

APO01.01
Mendefinisikan struktur CCCC Saya C RI Saya ACCCRCCC
organisasi.
APO01.02
Menetapkan peran IC C CCCACCCRCCCC
dan tanggung jawab.
Rencanakan,
Sejajarkan,
Atur
dan
APO01.03
Menjaga enabler dari sistem CACRCC I CCCC CCR R
manajemen.
APO01.04
Manajemen komunikasi ARRR ENVY Saya Dalam RR I Saya Saya Saya INI Saya Saya Saya Saya Saya Saya Saya
TUJUAN DAN ARAH

APO01.05
Mengoptimalkan penempatan CCCC A C CCCRCCCRCCC
fungsi IT.
APO01.06
Mendefinisikan informasi (data) Saya AKU MOBIL 330 CC
dan kepemilikan sistem.
APO01.07
Mengelola perbaikan proses yang SEBUAH R R C Saya CCRRRRRRRR
berkelanjutan.
APO01.08
Menjaga kepatuhan SEBUAH R R R RC I RRRRRRRR
terhadap kebijakan dan prosedur.
APO01 Proses Praktek, Input/Output dan Kegiatan
Praktek Manajemen Masukan Keluaran
APO01.01 Mendefinisikan struktur organisasi. Dari Deskripsi Keterangan Ke

Menetapkan struktur organisasi internal dan
EDM01.01 s$ECISION MAKINGMODEL definisi organisasi APO03.02
diperluas yang mencerminkan kebutuhan bisnis dan prioritas TI.
s%NTERPRISEGOVERNANCE struktur dan fungsi
Menerapkan struktur manajemen yang diperlukan (misalnya,
prinsip panduan
komite) yang memungkinkan pengambilan keputusan
manajemen dilakukan dengan cara yang paling efektif dan efisien.APO03.02 Model arsitektur Pedoman operasional APO03.02
proses organisasi
Aturan dasar Semua APO
komunikasi Semua BAI
Semua DSS
Segala hal

BAB 5
APO01 Proses Praktek, Input/Output dan Kegiatan (lanjutan)
APO01.01 Kegiatan
1. Tentukan ruang lingkup, fungsi internal dan eksternal, peran internal dan eksternal, serta kemampuan dan hak keputusan yang diperlukan, termasuk aktivitas TI tersebut
dilakukan oleh pihak ketiga.
2. Mengidentifikasi keputusan yang diperlukan untuk pencapaian hasil perusahaan dan strategi TI, dan untuk pengelolaan dan pelaksanaan layanan TI.
3. Membangun keterlibatan pemangku kepentingan yang penting untuk pengambilan keputusan (akuntabel, bertanggung jawab, berkonsultasi atau diinformasikan).
4. Menyelaraskan organisasi terkait TI dengan model organisasi arsitektur perusahaan.
5. Menentukan fokus, peran dan tanggung jawab masing-masing fungsi dalam struktur organisasi terkait TI.
6. Menetapkan struktur dan hubungan manajemen untuk mendukung fungsi dan peran manajemen dan pelaksanaan, sejalan dengan
arah pemerintahan ditetapkan.
7. Membentuk komite strategi TI (atau setara) di tingkat dewan. Komite ini harus memastikan bahwa tata kelola TI, sebagai bagian dari perusahaan
TATA KELOLA YANGCUKUP DITANGGUNGI SARAN STRATEGI ARAH DAN TINJAUAN INVESTASI UTAMASONBEHALFOPAPAN PENUH
8. Membentuk komite pengarah TI (atau yang setara) yang terdiri dari eksekutif, bisnis, dan manajemen TI untuk menentukan prioritas PROGRAM INVESTASI yang mendukung TI
DALAM STRATEGI BISNIS ENTERPRISE DAN TRACKSTATU PRIORITAS PROYEKSANDRESOLVERES KONFLIK SUMBER DAN
memantau tingkat layanan dan peningkatan layanan.
0ROVIDEPANDUANFOREACHMANAJEMENSTRUKTUR TERMASUKMANDATEOBJEKTIFSMEETINGATTENDEESTIMINGPELACAKANPERVISI DAN PENGAWASAN

serta masukan yang diperlukan untuk dan hasil yang diharapkan dari pertemuan.
10. Tetapkan aturan dasar untuk komunikasi dengan mengidentifikasi kebutuhan komunikasi, dan menerapkan rencana berdasarkan kebutuhan tersebut, dengan mempertimbangkan top-down,
komunikasi dari bawah ke atas dan horizontal.
11. Membangun dan memelihara koordinasi, komunikasi, dan struktur penghubung yang optimal antara fungsi bisnis dan TI dalam perusahaan
dan dengan entitas di luar perusahaan.
12. Secara berkala memverifikasi kecukupan dan efektivitas struktur organisasi.
APO01.02 Menetapkan peran dan tanggung jawab. Dari Deskripsi Keterangan Ke
Menetapkan, menyepakati, dan mengomunikasikan peran

EDM01.01 Tingkat otoritas Definisi peran dan tanggung DSS05.04
dan tanggung jawab personel TI, serta pemangku
jawab terkait TI
kepentingan lain yang bertanggung jawab atas TI perusahaan, yang
JELAS MEREFLEKSI KEBUTUHAN USAHA)4TUJUAN EDM04.02 Tanggung jawab yang diberikan Definisi praktik pengawasan APO07.01
TANGGUNG JAWAB KEKUASAAN PERSONIL ANDRELEVANT untuk manajemen sumber daya
dan akuntabilitas.
APO07.03 s3KILLDEVELOPMENTPLANS
s3KILLSANDKOMPETENSI
matriks
APO11.01 Peran, tanggung jawab,

dan hak keputusan sistem
manajemen mutu (SMM)
APO13.01 Sistem manajemen

keamanan informasi
(ISMS) pernyataan ruang lingkup
DSS06.03 s! LOKASI TINGKAT

otoritas
s!LOCATEDROLESAND
tanggung jawab
Kegiatan
1. Menetapkan, menyepakati, dan mengomunikasikan peran dan tanggung jawab terkait TI untuk semua personel di perusahaan, sejalan dengan kebutuhan dan TUJUAN bisnis
2. Pertimbangkan persyaratan dari perusahaan dan kontinuitas layanan TI saat menentukan peran, termasuk persyaratan cadangan staf dan pelatihan silang.
3. Memberikan masukan untuk proses kesinambungan layanan TI dengan mempertahankan informasi kontak dan deskripsi peran yang up-to-date di perusahaan.
4. Memasukkan dalam uraian peran dan tanggung jawab kepatuhan terhadap kebijakan dan prosedur manajemen, kode etik, dan praktik profesional.
5. Menerapkan praktik pengawasan yang memadai untuk memastikan bahwa peran dan tanggung jawab dilaksanakan dengan benar, untuk menilai apakah semua personel telah
wewenang dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawab mereka, dan untuk meninjau kinerja secara umum. Tingkat pengawasan harus sesuai dengan kepekaan
posisi dan luasnya tanggung jawab yang diberikan.
6. Memastikan bahwa akuntabilitas didefinisikan melalui peran dan tanggung jawab.
7. Susun peran dan tanggung jawab untuk mengurangi kemungkinan peran tunggal membahayakan proses kritis.

APO01.03 Menjaga enabler dari sistem manajemen. Dari Keterangan Keterangan Ke
EDM01.01 Prinsip panduan tata kelola Kebijakan terkait TI Semua APO

Memelihara pendukung sistem manajemen dan lingkungan kontrol
perusahaan Semua BAI
untuk TI perusahaan, dan memastikan bahwa MEREKA TERINTEGRASI
Semua DSS
DAN DISESUAIKAN DENGAN ENTERPRISE S APO02.05 Peta jalan strategis
Segala hal
tata kelola dan filosofi manajemen dan gaya operasi. Pemberdaya ini
APO12.01 Masalah dan faktor risiko
mencakup komunikasi yang jelas OFEXPECTATIONS REQUIREMENTS
yang muncul
4HEMANAGEMENT
sistem harus mendorong kerja sama dan kerja tim lintas divisi, APO12.02 Hasil analisis risiko
mempromosikan kepatuhan dan perbaikan berkelanjutan, dan menangani
penyimpangan proses (termasuk kegagalan).
Kegiatan
1. Memperoleh pemahaman tentang visi, arah, dan strategi perusahaan.
#ONSIDERTHEENTERPRISE SINTERNALENVIRONMENTTERMASUK MANAJEMEN BUDAYA DAN FILOSOFIRISKTOLERANSI KEAMANANNILAI ETIKAKODE PERILAKUakuntabilitas, dan
persyaratan untuk integritas manajemen.
3. Turunkan dan integrasikan prinsip-prinsip TI dengan prinsip-prinsip bisnis.
4. Menyelaraskan lingkungan pengendalian TI dengan lingkungan kebijakan TI secara keseluruhan, tata kelola TI dan kerangka proses TI, serta kerangka kerja risiko dan pengendalian tingkat
perusahaan yang ada. Menilai praktik atau persyaratan yang baik untuk industri tertentu (misalnya, peraturan khusus industri) dan mengintegrasikannya jika sesuai.
5. Menyelaraskan dengan tata kelola dan standar manajemen dan standar nasional dan internasional yang berlaku dan kode praktik, dan mengevaluasi PRAKTEKSSUCHAS#/3/
SINPengendalian Internal—Kerangka Terpadu DAN#/3/ SENerprise Risk Management—Kerangka Kerja Terpadu yang tersedia.
6. Membuat serangkaian kebijakan untuk mendorong ekspektasi kontrol TI pada topik utama yang relevan seperti kualitas, keamanan, kerahasiaan, kontrol internal, penggunaan aset TI, etika, dan
hak kekayaan intelektual.
7. Mengevaluasi dan memperbarui kebijakan setidaknya setiap tahun untuk mengakomodasi perubahan lingkungan operasi atau bisnis.
8. Luncurkan dan terapkan kebijakan TI kepada semua staf yang relevan, sehingga kebijakan tersebut terintegrasi ke dalam, dan merupakan bagian integral dari, operasi perusahaan.
9. Pastikan bahwa ada prosedur untuk melacak kepatuhan terhadap kebijakan dan menentukan konsekuensi dari ketidakpatuhan.
APO01.04 Mengkomunikasikan tujuan dan arah manajemen. Dari Keterangan Keterangan Ke
EDM01.02 Komunikasi tata kelola Komunikasi di IT Semua APO

Mengkomunikasikan kesadaran dan pemahaman
perusahaan TUJUAN Semua BAI
tentang )4TUJUAN DAN ARAH KEPADA PEMEGANG PEMEGANG YANG TEPAT
Semua DSS
dan pengguna di seluruh perusahaan. EDM04.02 Prinsip Pengamanan
Segala hal
sumber daya
APO12.06 Komunikasi
dampak risiko
BAI08.01 Komunikasi tentang nilai
pengetahuan
DSS04.01 0OLISI DAN TUJUAN UNTUK

keberlangsungan bisnis
DSS05.01 Kebijakan pencegahan
perangkat lunak berbahaya
DSS05.02 Kebijakan keamanan konektivitas
DSS05.03 Kebijakan keamanan

untuk perangkat titik akhir
Kegiatan
#ONTINUOUSLYCOMMUNICATE)4TUJUANDAN ARAH %NSUREBAHWAKOMUNIKASIDIDUKUNG OLEHEXECUTIVEMANAGEMENTINACTTIONANDWORDSmenggunakan semua

saluran yang tersedia.
% PASTI INFORMASI DIKOMUNIKASIKANDENKOMPAS SEJELASARTICULATEDMISSIONSERVICETUJUANKODE KUALITASKENDALI INTERNAL KEAMANAN

PERILAKU ETIKA KEBIJAKAN DAN PROSEDUR PERAN DAN TANGGUNG JAWAB DETAIL DETAILFORTHE
masing-masing audiens dalam perusahaan.
3. Menyediakan sumber daya yang cukup dan terampil untuk mendukung proses komunikasi.

BAB 5
APO01.05 Mengoptimalkan penempatan fungsi IT. Dari Keterangan Keterangan Ke

Posisikan kapabilitas TI dalam struktur organisasi secara
Di luar COBIT s%NTERPRISEOPERATING Evaluasi opsi untuk organisasi APO03.02
keseluruhan untuk mencerminkan model perusahaan yang
model TI
relevan dengan pentingnya TI dalam perusahaan, khususnya
s%NTERPRISESTRATEGY
kekritisannya terhadap strategi perusahaan dan tingkat Penempatan APO03.02
ketergantungan operasional pada TI. Garis pelaporan CIO harus operasional fungsi TI yang ditetapkan
sepadan dengan pentingnya TI dalam perusahaan.
Kegiatan
1. Memahami konteks penempatan fungsi TI, termasuk penilaian terhadap strategi perusahaan dan model operasi (terpusat,
federasi, desentralisasi, hibrida), pentingnya TI, dan situasi serta opsi sumber.
2. Mengidentifikasi, mengevaluasi dan memprioritaskan pilihan untuk penempatan organisasi, sumber dan model operasi.
3. Menentukan penempatan fungsi IT dan mendapatkan kesepakatan.
APO01.06 Mendefinisikan informasi (data) dan Dari Keterangan Keterangan Ke

kepemilikan sistem.
Pedoman klasifikasi APO03.02
Mendefinisikan dan memelihara tanggung jawab untuk
data BAI02.01
kepemilikan informasi (data) dan sistem informasi. Pastikan
DSS05.02
bahwa pemilik membuat keputusan tentang mengklasifikasikan
DSS06.01
informasi dan sistem dan melindunginya sesuai dengan klasifikasi
ini. Panduan keamanan dan BAI02.01
kontrol data
Prosedur integritas data BAI02.01

DSS06.01
Kegiatan
1. Memberikan kebijakan dan pedoman untuk memastikan klasifikasi informasi (data) yang tepat dan konsisten di seluruh perusahaan.
2. Menentukan, memelihara, dan menyediakan alat, teknik, dan pedoman yang tepat untuk memberikan keamanan dan kontrol yang efektif atas informasi dan informasi
sistem bekerja sama dengan pemilik.
3. Membuat dan memelihara inventaris informasi (sistem dan data) yang mencakup daftar pemilik, penjaga, dan klasifikasi. Sertakan sistem
yang dialihdayakan dan yang kepemilikannya harus tetap berada di dalam perusahaan.
4. Tetapkan dan terapkan prosedur untuk memastikan integritas dan konsistensi semua informasi yang disimpan dalam bentuk elektronik seperti database, data
gudang dan arsip data.
APO01.07 Mengelola perbaikan proses yang Dari Keterangan Keterangan Ke

berkelanjutan.
EDM01.03 Umpan balik tentang Penilaian kemampuan MEA01.03
Menilai, merencanakan, dan melaksanakan perbaikan terus-
efektivitas dan kinerja tata proses
menerus dari proses dan kematangannya untuk memastikan
kelola
bahwa proses tersebut mampu memenuhi tujuan perusahaan,
tata kelola, MANAJEMEN, DAN KONTROL #ONSIDER#/")4 MEA03.02 Kebijakan, prinsip, Peluang peningkatan Semua APO
panduan implementasi proses, standar yang muncul, persyaratan prosedur, dan standar proses Semua BAI
kepatuhan, peluang otomatisasi, dan umpan balik dari pengguna yang diperbarui Semua DSS
proses, tim proses, dan pemangku kepentingan lainnya. Perbarui Segala hal
proses dan pertimbangkan dampak pada pendukung proses.

Sasaran kinerja dan metrik MEA01.02
untuk pelacakan
peningkatan proses
Kegiatan
1. Mengidentifikasi proses bisnis-kritis berdasarkan driver kinerja dan kesesuaian dan risiko terkait. Menilai kemampuan proses dan mengidentifikasi
target perbaikan. Menganalisis kesenjangan dalam kemampuan proses dan kontrol. Mengidentifikasi pilihan untuk perbaikan dan mendesain ulang proses. Memprioritaskan
inisiatif untuk perbaikan proses berdasarkan potensi manfaat dan biaya.
2. Menerapkan peningkatan yang disepakati, beroperasi sebagai praktik bisnis normal, dan menetapkan sasaran dan metrik kinerja untuk memungkinkan pemantauan
perbaikan proses.
3. Pertimbangkan cara untuk meningkatkan efisiensi dan efektivitas (misalnya, melalui pelatihan, dokumentasi, standarisasi dan otomatisasi proses).
4. Terapkan praktik manajemen mutu untuk memperbarui proses.
5. Menghentikan proses, komponen proses, atau pengaktif yang sudah ketinggalan zaman.

APO01.08 Menjaga kepatuhan terhadap kebijakan dan Dari Keterangan Keterangan Ke

prosedur.
DSS01.04 Kebijakan lingkungan .ON KEPATUHAN MEA01.05
Menerapkan prosedur untuk menjaga kepatuhan dan pengukuran
tindakan perbaikan
kinerja kebijakan dan pendukung lain dari kerangka kontrol, dan MEA03.02 Kebijakan, prinsip,
menegakkan konsekuensi dari ketidakpatuhan atau kinerja yang prosedur, dan standar yang
tidak memadai. Lacak tren dan kinerja dan pertimbangkan ini diperbarui
dalam desain masa depan dan peningkatan kerangka kontrol.
Kegiatan
1. Melacak kepatuhan terhadap kebijakan dan prosedur.
2. Menganalisis ketidakpatuhan dan mengambil tindakan yang tepat (ini dapat mencakup perubahan persyaratan).
)PENTINGKAN KINERJA DAN KEPATUHAN TERHADAP TUJUAN KINERJA ANGGOTA STAF INDIVIDU
2 SETIAP MENILAI KINERJA PENDUKUNG KERANGKA KERJA DAN MELAKUKAN TINDAKAN PENDAPATAN
5. Menganalisis tren dalam kinerja dan kepatuhan dan mengambil tindakan yang tepat.
Panduan Terkait APO01
)3/ )%# s
-TANGGUNG JAWAB MANAJEMEN
s
#PERBAIKAN SECARA LANGSUNG
)3/ )%# 6. Organisasi Keamanan Informasi 25. Proses
)4),6 Peningkatan Tujuh Langkah

BAB 5
Area: Manajemen
APO02 Kelola Strategi Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Memberikan pandangan holistik tentang bisnis saat ini dan lingkungan TI, arah masa depan, dan inisiatif yang diperlukan untuk bermigrasi ke lingkungan masa depan yang diinginkan.
Memanfaatkan blok bangunan dan komponen arsitektur perusahaan, termasuk layanan yang disediakan secara eksternal dan kemampuan terkait untuk mengaktifkan
NIMBLERELIABLEANDEFFICIENTRESPONSETOSTRATEGICOBJECTIVES Pernyataan Tujuan Proses
!LIGNSTRATEGIC)4PLANSWITHBUSINESSOBJECTIVES #LEARLYCOMMUNICATETHEOBJECTIVESANDASOCIATEDACCOUNTABILITIESOHEYAREUNDERSTOODBYALLWITH
pilihan strategis TI diidentifikasi, terstruktur dan terintegrasi dengan rencana bisnis.
01 Penyelarasan TI dan strategi bisnis s0ERCENTOFENTERPRISESTRATEGICGOALSANDPERSYARATANDIDUKUNG OLEH

TUJUAN STRATEGIS TI,
KEPUASAN PEMEGANG PEMANGKU KEPENTINGAN TERHADAP FOLIOF RUANG LINGKUP YANG DIRENCANAKAN
program dan layanan


17 Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis s,EVELOFBUSINESSEXECUTIVEAWARENESSANDUNDERSTANDINGOF)4

kemungkinan inovasi
s, KEPUASAN PEMEGANG PEMEGANG PEMEGANG SAHAM
dan ide-ide
1. Semua aspek strategi TI diselaraskan dengan strategi perusahaan. s0ERCENTOFOOBJECTIVESINTHE)4STRATEGI YANG MENDUKUNG
strategi perusahaan
s0ERCENTOFENTERPRISEOBJECTIVESADDRESSEDINTHE)4STRATEGI
2. Strategi TI hemat biaya, tepat, realistis, dapat dicapai, s0ERCENTOFINITIATIVESINTHE)4STRATEGYTHATAREFUNCIAL FINANCIAL

berfokus pada perusahaan dan seimbang. manfaat melebihi biaya)
s4RENDSIN2/)OFINITIATIVETERMASUK DALAM)4STRATEGI
s,EVELOFENTERPRISESTAKEHOLDERSKEPUASANSURVEIFEEDBACKONTHE
strategi TI
3. Tujuan jangka pendek yang jelas dan konkret dapat diturunkan dari, dan ditelusuri kembali s0ERCENTOFPROJECTSINTHE)4PROYEKPORTFOLIOTBISA LANGSUNG DITRACAKSI
ke, inisiatif jangka panjang yang spesifik, dan kemudian dapat diterjemahkan ke dalam kembali ke strategi TI
rencana operasional.
4. TI adalah pendorong nilai bagi perusahaan. s0ERCENTOFSTRATEGICENTERPRISEOBJECTIVESOBTAINEDASARESULTOFSTRATEGIC

Inisiatif TI
s.UMBEROFNEWENTERPRISEOPPORTUNITIESREALISEDASADIRECTRESULTOF
perkembangan TI
s0ERCENTOF)4INITIATIVES PROJECTSCHAMPIONEDBYBUSINESSOWNERS
5. Ada kesadaran akan strategi TI dan penugasan akuntabilitas yang jelas untuk s!CHIEVEMENTOFMEASURABLE)4STRATEGYOUTCOMESPARTOFSTAFF
pengiriman. tujuan kinerja
s&REQUENCYOFUPDATESTOTHE)4RENCANA KOMUNIKASI STRATEGI
s0ERCENTOFSTRATEGICINTIATIVESWITHACCOUNTABILITYDITUTAKAN

Bagan RACI APO02
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO02.01
CCCACC CC C RCRR RR
Memahami arah perusahaan.
APO02.02
Menilai lingkungan, kemampuan, CCCRCC C CCARRRCCCC
dan kinerja saat ini.
APO02.03
ACCC IR C 100.000.000.000.000.000.000.000.000
Rencanakan,
Sejajarkan,
Atur
dan
Saya
Tentukan target kemampuan TI.

APO02.04
RRC C CRRARRRRRRC
Melakukan analisis kesenjangan.
APO02.05
Menetapkan rencana strategis CI CC C R CC CCA CCCCCC
dan peta jalan.
APO02.06
Mengkomunikasikan strategi IRI IRIAI I Saya Saya Saya Saya Saya Saya saya IRI saya Saya Saya Saya Saya Saya Saya
dan arah TI.
APO02.01 Memahami arah perusahaan. Dari Keterangan Keterangan Ke

Pertimbangkan lingkungan perusahaan dan proses
EDM04.01 Prinsip-prinsip panduan Sumber dan prioritas Intern
bisnis saat ini, serta strategi perusahaan DAN TUJUAN
untuk alokasi sumber untuk perubahan
MASA DEPAN #ONSIDERALSOTHEEXTERNAL
daya dan kemampuan
lingkungan perusahaan (penggerak industri, peraturan
terkait, dasar persaingan). APO04.02 Peluang inovasi terkait
dengan penggerak bisnis
Di luar strategi Perusahaan COBIT dan

analisis kekuatan,
kelemahan, peluang,
ancaman (SWOT) perusahaan
Kegiatan
$EVELOPANDMAINTAINANPENGERTIANOFENTERPRISESTRATEGYANDOBJECTIVESASWELLASTHECURRENTENTERPRISEOPERATIONALENVIRONMENTANDTANTANGAN
2. Mengembangkan dan memelihara pemahaman tentang lingkungan eksternal perusahaan.
3. Identifikasi pemangku kepentingan utama dan dapatkan wawasan tentang kebutuhan mereka.
4. Mengidentifikasi dan menganalisis sumber perubahan di perusahaan dan lingkungan eksternal.
5. Pastikan prioritas untuk perubahan strategis.
6. Memahami arsitektur perusahaan saat ini dan bekerja dengan proses arsitektur perusahaan untuk menentukan potensi celah arsitektur.

BAB 5
APO02.02 Menilai lingkungan, kemampuan, dan kinerja Dari Keterangan Keterangan Ke

saat ini.
APO06.05 Peluang pengoptimalan Dasar dari kemampuan Intern
Menilai kinerja bisnis internal dan kemampuan TI saat ini dan
biaya saat ini
layanan TI eksternal, dan mengembangkan pemahaman tentang
arsitektur perusahaan dalam kaitannya dengan TI. Identifikasi masalah APO08.05 Definisi potensi Kesenjangan dan risiko terkait APO12.01
yang saat ini sedang dialami dan kembangkan rekomendasi di bidang PROYEK PENINGKATAN dengan kemampuan saat ini
yang dapat memperoleh manfaat dari perbaikan. Pertimbangkan
APO09.01 Kesenjangan yang Kemampuan analisis SWOT Intern
pembeda dan pilihan penyedia layanan serta dampak keuangan dan
teridentifikasi dalam layanan TI untuk bisnis
potensi biaya dan manfaat menggunakan layanan eksternal.
APO09.04 Rencana tindakan perbaikan
dan remediasi
APO12.01 Masalah dan faktor risiko yang

muncul
APO12.02 Hasil analisis risiko
APO12.03 Profil risiko gabungan,

termasuk status tindakan
manajemen risiko
APO12.05 0ROJECTPROPOSALFOR
mengurangi risiko
BAI04.03 s0ERFORMANCEDAN
rencana kapasitas
s0RIORITISED PENINGKATAN
BAI04.05 Tindakan korektif
BAI09.01 Hasil ulasan sesuai tujuan
BAI09.04 s/PPORTUNITIESTOREDUCE
biaya aset atau peningkatan
nilai
s2ESULTSOFCOST
ulasan pengoptimalan
Kegiatan
1. Mengembangkan dasar dari lingkungan bisnis dan TI saat ini, kemampuan dan layanan yang dapat dibandingkan dengan kebutuhan masa depan. Sertakan detail tingkat tinggi yang relevan
dari arsitektur perusahaan saat ini (bisnis, informasi, data, aplikasi dan domain teknologi), proses bisnis, proses dan prosedur TI, struktur organisasi TI, penyediaan layanan eksternal, tata
kelola TI, dan terkait TI di seluruh perusahaan keterampilan dan kompetensi.
2. Identifikasi risiko dari teknologi saat ini, potensial dan menurun.
3. Mengidentifikasi kesenjangan antara kemampuan dan layanan bisnis dan TI saat ini dan standar referensi dan praktik terbaik, bisnis pesaing dan kemampuan TI, dan tolok ukur
komparatif dari praktik terbaik dan penyediaan layanan TI yang muncul.
4. Identifikasi masalah, kekuatan, peluang dan ancaman di lingkungan saat ini, kemampuan dan layanan untuk memahami kinerja saat ini. Mengidentifikasi AREASFORIMPENGEMBANGAN
INTERMSOF)4 SCONTRIBUTIONTOENTERPRISEOBJECTIVES

APO02.03 Tentukan target kemampuan TI. Dari Keterangan Keterangan Ke

Tentukan target bisnis dan kapabilitas TI serta layanan TI
APO04.05 s!NALYSISOFREJECTED Sasaran terkait TI tingkat tinggi Internal
yang dibutuhkan. Ini harus didasarkan pada pemahaman
inisiatif
tentang lingkungan dan persyaratan perusahaan; penilaian Bisnis yang dibutuhkan dan Intern
s2ESULTSAND
proses bisnis saat ini dan lingkungan dan masalah TI; dan kemampuan TI
rekomendasi dari
pertimbangan standar referensi, praktik terbaik dan teknologi
inisiatif proof-of-concept Perubahan arsitektur APO03.03
yang muncul atau proposal inovasi yang divalidasi.
perusahaan yang diusulkan
Kegiatan
1. Pertimbangkan ide-ide teknologi atau inovasi yang muncul dan tervalidasi.
2. Identifikasi ancaman dari teknologi yang menurun, saat ini dan yang baru diperoleh.
$EFINEHIGH LEVEL)4TUJUAN TUJUANSANDAPAKAH MEREKA AKAN BERKONTRIBUSIPADA SASARAN BISNIS ENTERPRISE
4. Tentukan proses bisnis yang diperlukan dan diinginkan serta kapabilitas TI dan layanan TI dan jelaskan perubahan tingkat tinggi dalam arsitektur perusahaan
(domain bisnis, informasi, data, aplikasi dan teknologi), proses dan prosedur bisnis dan TI, struktur organisasi TI, penyedia layanan TI, tata kelola TI, serta keterampilan dan kompetensi TI.
5. Sejajarkan dan setujui dengan arsitek perusahaan tentang perubahan arsitektur perusahaan yang diusulkan.
6. Menunjukkan ketertelusuran ke strategi dan persyaratan perusahaan.
APO02.04 Melakukan analisis kesenjangan. Dari Keterangan Keterangan Ke

Identifikasi kesenjangan antara lingkungan saat ini dan
EDM02.01 Evaluasi keselarasan Kesenjangan dan perubahan EDM04.01
target dan pertimbangkan penyelarasan aset (kemampuan
strategis yang diperlukan untuk mewujudkan APO13.02
yang mendukung layanan) dengan hasil bisnis untuk
kemampuan target BAI03.11
mengoptimalkan investasi dan pemanfaatan basis aset internal dan
eksternal. Pertimbangkan faktor penentu keberhasilan untuk APO04.06 Penilaian menggunakan 6ALUEMANFAAT PERNYATAAN UNTUK BAI03.11
mendukung pelaksanaan strategi. pendekatan inovatif lingkungan sasaran
APO05.02 Ekspektasi
pengembalian investasi
BAI01.05 Hasil pemantauan pencapaian

tujuan program
BAI01.13 Hasil review pasca

implementasi
Kegiatan
1. Identifikasi semua kesenjangan dan perubahan yang diperlukan untuk mewujudkan lingkungan sasaran.
2. Pertimbangkan implikasi tingkat tinggi dari semua kesenjangan. Pertimbangkan nilai potensi perubahan pada bisnis dan kapabilitas TI, layanan TI, dan perusahaan
arsitektur, dan implikasinya jika tidak ada perubahan yang direalisasikan.
3. Menilai dampak perubahan potensial pada model operasi bisnis dan TI, kemampuan penelitian dan pengembangan TI, dan
program investasi TI.
4. Perbaiki definisi lingkungan target dan siapkan pernyataan nilai dengan manfaat lingkungan target.

BAB 5
APO02.05 Menetapkan rencana strategis dan peta jalan. Dari Keterangan Keterangan Ke
Buat rencana strategis yang mendefinisikan, dalam kerjasama dengan
EDM04.01 Rencana sumber daya yang disetujui Definisi inisiatif strategis APO05.01
pemangku kepentingan yang relevan, bagaimana tujuan yang terkait
dengan TI akan MEMPENGARUHI STRATEGI ENTERPRISE ) TERMASUK
bagaimana TI akan mendukung program investasi yang mendukung EDM04.03 s&EEDBACKONALLOCATION Tugas beresiko APO05.01
TI, proses bisnis, layanan TI, dan aset TI. Arahkan TI untuk dan efektivitas sumber APO12.01
menentukan inisiatif yang akan diperlukan untuk menutup kesenjangan, daya dan kemampuan
strategi sumber dan pengukuran yang akan digunakan untuk memantau
pencapaian tujuan, kemudian memprioritaskan inisiatif dan s2MEDIALAKSI
menggabungkannya dalam peta jalan tingkat tinggi. untuk mengatasi
penyimpangan pengelolaan sumber daya
APO03.01 s$EFINEDSCOPE Peta jalan strategis EDM02.01

arsitektur APO01.03
s! KONSEP RSITEKTUR APO03.01
kasus bisnis dan APO05.01
proposisi nilai APO08.01
APO03.02 Model arsitektur informasi
APO03.03 ARSITEKTUR s4RANSISION

s(TINGKAT TINGGI
implementasi dan
strategi migrasi
APO05.01 Umpan balik tentang

strategi dan tujuan
APO05.02 Opsi pendanaan
APO06.02 Alokasi anggaran
APO06.03 s)4ANGGARAN DAN RENCANA
s"UDGETKOMUNIKASI
APO13.02 Kasus bisnis keamanan

informasi
BAI09.05 !CTIONPLANTOADJUST
nomor dan alokasi
lisensi
DSS04.02 Opsi strategis yang disetujui
Kegiatan
$ EfinetheinitiativesRequiredtocloseGaps dan migrateDromthecurrentTothetargetenvironment termasuk dalam investasi operasionalbudgetfunding

sumber, strategi sumber dan strategi akuisisi.
2. Mengidentifikasi dan menangani secara memadai risiko, biaya, dan implikasi dari perubahan organisasi, evolusi teknologi, persyaratan peraturan, bisnis
proses rekayasa ulang, penempatan staf, peluang insourcing dan outsourcing, dll., dalam proses perencanaan.
3. Menentukan ketergantungan, tumpang tindih, sinergi dan dampak antar inisiatif, dan memprioritaskan inisiatif.
)DENTIFIKASI SUMBERDAYAPERSYARATANJADWAL DAN OPERASIONAL INVESTASI ANGGARAN UNTUKPENGERTIANPENGERTIAN
5. Buat peta jalan yang menunjukkan penjadwalan relatif dan saling ketergantungan inisiatif.
4RANSLATETHEOBJECTIVESINTOOUTCOMEMEASURESRESENTEDBYMETRICS APA DAN SASARAN BAGAIMANA DAPAT BERHUBUNGAN DENGAN MANFAAT USAHA 7. Secara formal
mendapatkan dukungan dari pemangku kepentingan dan mendapatkan persetujuan untuk rencana tersebut.

APO02.06 Mengkomunikasikan strategi dan Dari Keterangan Keterangan Ke

arah TI.
EDM04.02 Komunikasi strategi Rencana komunikasi Intern
Ciptakan kesadaran dan pemahaman tentang bisnis
sumber daya
DAN)4TUJUAN DAN ARAH SEBAGAI TERTANGKAP DALAM paket komunikasi Semua APO
Strategi TI, melalui komunikasi kepada pemangku Semua BAI
kepentingan dan pengguna yang tepat di seluruh perusahaan. Semua DSS
Segala hal
Kegiatan
1. Mengembangkan dan memelihara jaringan untuk mendukung, mendukung, dan mendorong strategi TI.
$EVELOPACOMMUNICATIONPLANCOVERINGTHEREQUIREDMESSAGESTARGETAUDIENCESCHANNELMEKANISME KOMUNIKASISJADWAL
3. Siapkan paket komunikasi yang menyampaikan rencana secara efektif dengan menggunakan media dan teknologi yang tersedia.
4. Dapatkan umpan balik dan perbarui rencana komunikasi dan pengiriman sesuai kebutuhan.
)3/ )%# s
0LANNINGANDIMPLEMENTINGSERVICEMANAGEMENT
s
0LANNINGDAN MELAKSANAKAN LAYANAN PERUBAHAN BARU
)4),6 1. Pembuatan Strategi

BAB 5
Area: Manajemen
APO03 Manage Enterprise Architecture Deskripsi Domain: Sejajarkan, Rencanakan, dan Atur
Proses Membangun arsitektur umum yang terdiri dari

proses bisnis, informasi, data, aplikasi dan lapisan arsitektur teknologi untuk mewujudkan strategi perusahaan dan TI secara efektif dan efisien dengan membuat model dan praktik utama yang
menggambarkan arsitektur dasar dan target. Tetapkan persyaratan untuk taksonomi, standar, pedoman, prosedur, templat, dan alat, dan berikan tautan untuk komponen-komponen ini. Meningkatkan
keselarasan, meningkatkan kelincahan, meningkatkan kualitas informasi dan menghasilkan penghematan biaya potensial melalui inisiatif seperti penggunaan kembali komponen blok bangunan.
Pernyataan Tujuan Proses Mewakili

blok bangunan berbeda yang membentuk perusahaan dan hubungan timbal baliknya serta prinsip-prinsip yang memandu desain dan EVOLUSI LEMAH
WAKTUMENAKTIFKANSANDARDRESPONSIFANDEFISIENDELIVERYOPERATIONALANDSTRATEGICOBJECTIVES Proses mendukung pencapaian serangkaian tujuan utama terkait
TI:

TUJUAN STRATEGIS
TI,PERKEMBANGAN PEMEGANG PEMEGANG SAHAM KEPUASAN TERHADAP RUANG
LINGKUPPLANPENPLANPENFOLIOF program dan layanan

s0ERCENTOF)4VALUEDRIVERSDIPETAKANTOBUSINESSVALUEDRIVERS
09 kelincahan TI s,PERKEMBANGAN KEPUASANBUSINESSEXECUTIVESWITH)4 SRESPONSIFNESSTO

persyaratan baru s.UMBEROFCRITICALBUSINESSPROCESSDIDUKUNG OLEH HINGGA
TANGGAL infrastruktur dan aplikasi s!

KEPUASANSOFBUSINESSAND)4EXECUTIVESWITH)4 BIAYA DAN KEMAMPUAN TERKAIT
1. Arsitektur dan standar efektif dalam mendukung perusahaan. s.UMBEROFEXCEPTIONSTOARCHITECTURESTANDARSANDBASELINEDITERAPKAN

untuk dan diberikan
s,EVELOFARCHITECTUREUMPAN BALIK PELANGGAN
s0ROJECTMANFAATREALISED YANG DAPAT DITRACEDBACKTOARCHITECTURE

keterlibatan (misalnya, pengurangan biaya melalui penggunaan kembali)
2. Portofolio layanan arsitektur perusahaan mendukung perubahan perusahaan s0ERCENTOFPROJECTSUSINGENPERPRISEARCHITECTURELAYANAN

yang gesit. s,EVELOFARCHITECTUREUMPAN BALIK PELANGGAN
! SESUAI DAN SAMPAI DOMAIN TANGGAL DAN ORFEDERATEDARCHITECTURESADA s$ATEOFLASTUPDATETODOMAINAND ORFEDERATEDARCHITECTURES

yang memberikan informasi arsitektur yang andal. s.UMBEROFIDENTIFIEDGAPSINMODELSACROSSENTERPRISEINFORMATIONDATAdomain
arsitektur aplikasi dan teknologi s,EVELOFARCHITECTUREFEEDBACKPELANGGAN
MENGENAI KUALITAS informasi yang diberikan
4. Kerangka kerja dan metodologi arsitektur perusahaan yang umum sebagai s0ERCENTOFPROJECTSTHATUTILISETHEFRAMEWORKANDMETODLOGYTORE GUNAKAN
serta repositori arsitektur terintegrasi digunakan untuk memungkinkan efisiensi penggunaan komponen yang ditentukan s.UMBEROFPEOPLETRAINEDINTTEMETHODLOGYANDTOOLSET
kembali di seluruh perusahaan. s.UMBEROFEXCEPTIONSTOARCHITECTURESTANDARSANDBASELINEDITERAPKAN untuk
dan diberikan

Bagan RACI APO03
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO03.01
Mengembangkan visi ACCCR CRCCCCRRCCC C
arsitektur perusahaan.
APO03.02
CCCRCR CACCCCRRCCC C
Mendefinisikan arsitektur referensi.
Rencanakan,
Sejajarkan,
Atur
dan
APO03.03 Pilih ACCCR CRCCCCRRCCC C

peluang dan solusi.
APO03.04
Mendefinisikan ACRCCR CRCCCCRRCCC C
implementasi arsitektur.
APO03.05
Menyediakan ACRCCR CRCCCCRRCCC C
layanan arsitektur perusahaan.

APO03.01 Mengembangkan visi Dari Keterangan Keterangan Ke

arsitektur perusahaan.
Prinsip panduan EDM04.01 Ruang lingkup APO02.05
Visi arsitektur memberikan gambaran tingkat tinggi
untuk arsitektur perusahaan arsitektur yang ditentukan
pertama dari arsitektur dasar dan target, yang mencakup
domain bisnis, informasi, data, aplikasi, dan teknologi. APO02.05 Peta jalan strategis Prinsip arsitektur BAI02.01
Visi arsitektur menyediakan sponsor dengan alat utama BAI03.01
untuk menjual manfaat dari kemampuan yang diusulkan BAI03.02
kepada pemangku kepentingan dalam perusahaan. Visi
Di luar strategi COBIT Enterprise Kasus bisnis APO02.05
arsitektur menjelaskan bagaimana kapabilitas baru akan
konsep arsitektur APO05.03
memenuhi tujuan perusahaan dan
dan proposisi nilai
STRATEGICOBJECTIVESANDADDRESSSTAKEHOLDERCONCERNS
ketika diimplementasikan.

BAB 5
APO03 Proses Praktik, Input/Output dan Kegiatan (lanjutan)
APO03.01 Kegiatan
)DENTIFIKASI PEMEGANG PASANG KUNCI DAN KEKHAWATIRAN MEREKA TUJUANDANDEFINISIKANPERSYARATAN ENTERPRISERPERSYARATANTOBEADDRESSEDASWELLASTHEEARCHITECTURE

pandangan yang akan dikembangkan untuk memenuhi berbagai persyaratan pemangku kepentingan.
2. Identifikasi tujuan perusahaan dan penggerak strategis perusahaan dan tentukan kendala yang harus ditangani, termasuk di seluruh perusahaan
KENDALA DAN KHUSUS PROYEKKENDALA JADWAL WAKTU SUMBER DAYA
!LIGNARSITEKTUROBJEKTIFWITHSTRATEGISPROGRAMMEPRIORITAS
4. Pahami kapabilitas dan keinginan bisnis, kemudian identifikasi opsi untuk merealisasikan kapabilitas tersebut.
!SSESSTHEENTERPRISE SREADINESSFORCHANGE
6. Tentukan apa yang ada di dalam dan apa yang berada di luar ruang lingkup arsitektur baseline dan upaya arsitektur target, memahami bahwa baseline dan
target tidak perlu dijelaskan pada tingkat detail yang sama.
7. Mengonfirmasi dan menguraikan prinsip-prinsip arsitektur, termasuk prinsip-prinsip perusahaan. Pastikan bahwa definisi yang ada saat ini dan klarifikasi area mana pun
ambiguitas.
5PAHAMIPENGERTIANPERUSAHAANPRISESTRATEGIKGOALDANDOBJEKTIFDAN BEKERJADENGANPROSES PERENCANAANPERENCANAANSTRATEGIBUAT PASTI)4PERUSAHAAN TERKAIT

peluang arsitektur dimanfaatkan dalam pengembangan rencana strategis.
9. Berdasarkan keprihatinan pemangku kepentingan, persyaratan kemampuan bisnis, ruang lingkup, batasan dan prinsip, buat visi arsitektur: tampilan tingkat tinggi
dari arsitektur dasar dan target.
10. Tentukan proposisi nilai arsitektur target, tujuan dan metrik.
11. Mengidentifikasi risiko perubahan perusahaan yang terkait dengan visi arsitektur, menilai tingkat risiko awal (misalnya, kritis, marjinal atau dapat diabaikan) dan
mengembangkan strategi mitigasi untuk setiap risiko signifikan.
$EVELOPANENTERPRISEARCHITECTURECONCEPTBUSINESSCASEOUTLINEPLANSANDSTATEMENTOFARCHITECTUREWORKANDSECUREAPPROVALTOINITIATEAPROJECT
selaras dan terintegrasi dengan strategi perusahaan.
APO03.02 Mendefinisikan arsitektur referensi. Dari Keterangan Keterangan Ke

Arsitektur referensi menggambarkan arsitektur saat ini dan target
APO01.01 s%NTERPRISEOPERATIONAL Deskripsi domain APO13.02
untuk bisnis, informasi, data, aplikasi dan domain teknologi.
pedoman dasar dan definisi BAI02.01
s$EFINITIONOF arsitektur BAI03.01
struktur dan fungsi organisasi BAI03.02
APO01.05 s$EFINEDOPERATIONAL Model arsitektur proses APO01.01

penempatan fungsi IT
s%VALUATIONOFOPTIONSFOR
organisasi TI
APO01.06 Pedoman klasifikasi Model arsitektur informasi APO02.05

data BAI02.01
BAI03.02
Di luar strategi COBIT Enterprise
DSS05.03
DSS05.04
DSS05.06

APO03.02 Kegiatan
1. Memelihara repositori arsitektur yang berisi standar, komponen yang dapat digunakan kembali, artefak pemodelan, hubungan, dependensi, dan tampilan untuk memungkinkan
keseragaman organisasi arsitektur dan pemeliharaan.
2. Pilih sudut pandang referensi dari repositori arsitektur yang akan memungkinkan arsitek untuk menunjukkan bagaimana kekhawatiran pemangku kepentingan sedang
dibahas dalam arsitektur.
3. Untuk setiap sudut pandang, pilih model yang diperlukan untuk mendukung tampilan spesifik yang diperlukan, menggunakan alat atau metode yang dipilih dan level yang sesuai
dekomposisi.
4. Kembangkan deskripsi domain arsitektur dasar, menggunakan cakupan dan tingkat detail yang diperlukan untuk mendukung arsitektur target dan, sejauh
mungkin, mengidentifikasi blok bangunan arsitektur yang relevan dari repositori arsitektur.
5. Mempertahankan model arsitektur proses sebagai bagian dari deskripsi domain dasar dan target. Standarisasi deskripsi dan dokumentasi dari
proses. Tentukan peran dan tanggung jawab pembuat keputusan proses, pemilik proses, pengguna proses, tim proses, dan pemangku kepentingan proses lainnya yang harus terlibat.
-MELENGKAPI MODEL ARSITEKTUR INFORMASI BAGIAN DASAR DAN TARGET DOMAIN DESKRIPSI KONSISTEN DUA STRATEGI ENTERPRISE DAPAT DIAKTIFKAN
penggunaan informasi yang optimal untuk pengambilan keputusan. Memelihara kamus data perusahaan yang mempromosikan pemahaman umum dan skema klasifikasi yang mencakup
detail tentang kepemilikan data, definisi tingkat keamanan yang sesuai, dan persyaratan penyimpanan dan penghancuran data.
6ERIFYTHEARCHITECTUREMODELFORKONSISTENSI INTERNALDANAKURASIDANDPERFORMAGAPANALISISANTARABASELINEDANTARGET 0RIORITISEGAPS

dan menentukan komponen baru atau yang dimodifikasi yang harus dikembangkan untuk arsitektur target. Menyelesaikan dampak potensial seperti inkompatibilitas, inkonsistensi
atau konflik dalam arsitektur yang dibayangkan.
#ONDUCTAFORMALSTAKEHOLDERREVIEWBYCHECKINGTHEPROPOSEDARCHITECTURELAGAINSTHEORIGINALMOTIVATIONFORTHEARCHITECTUREPROJECTANDTHE
pernyataan karya arsitektur.
9. Menyelesaikan arsitektur domain bisnis, informasi, data, aplikasi dan teknologi, dan membuat dokumen definisi arsitektur.
APO03.03 Pilih peluang dan solusi. Dari Keterangan Keterangan Ke

Rasionalisasi kesenjangan antara arsitektur dasar dan target,
APO02.03 Perubahan arsitektur Implementasi tingkat tinggi dan APO02.05
dengan mengambil PERSPEKTIF bisnis dan teknis
perusahaan yang diusulkan strategi migrasi
PAKET KERJA )PENTINGKANPROYEK DENGAN TERKAIT Di luar COBIT s%NTERPRISSTRATEGIES Arsitektur transisi APO02.05
Program investasi berbasis TI untuk memastikan bahwa prakarsa s%NTERPRISEDRIVERS
arsitektur diselaraskan dengan dan memungkinkan prakarsa ini
sebagai bagian dari perubahan perusahaan secara keseluruhan.
Jadikan ini sebagai upaya kolaboratif dengan pemangku
kepentingan utama perusahaan dari bisnis dan TI untuk menilai
KESIAPAN STRANSFORMASI ENTERPRISE DAN
mengidentifikasi peluang, solusi dan semua
kendala implementasi.
Kegiatan
$ ETERMINEANDCONFIRMKEYENTERPRISECHANGEATTRIBUTTERMASUKTHEENTERPRISE SCULPTUREDAN BAGAIMANA DAMPAKTERIMPAKTENTERPRISEARCHITECTURE

KEMAMPUAN TRANSISI ENTERPRISE IMPLEMENTATIONASWELLAS
2. Identifikasi setiap penggerak perusahaan yang akan membatasi urutan implementasi, termasuk tinjauan rencana strategis dan bisnis perusahaan dan lini bisnis, dan pertimbangan
kematangan arsitektur perusahaan saat ini.
3. Meninjau dan mengkonsolidasikan hasil analisis kesenjangan antara arsitektur dasar dan target dan menilai implikasinya sehubungan dengan potensi
PELUANG SOLUSI INTERDEPENDENCIESANDALIGNMENTWITHCURRENT)4 PROGRAM YANG DIAKTIFKAN
4. Menilai persyaratan, kesenjangan, solusi dan faktor untuk mengidentifikasi satu set minimal persyaratan fungsional yang terintegrasi ke dalam paket kerja
akan mengarah pada implementasi arsitektur target yang lebih efisien dan efektif.
5. Rekonsiliasi persyaratan konsolidasi dengan solusi potensial.
6. Perbaiki dependensi awal, pastikan bahwa setiap kendala pada implementasi dan rencana migrasi diidentifikasi, dan konsolidasikan ke dalam a
laporan analisis ketergantungan.
#ONFIRMTHEENTERPRISE SREADINESSFORANDTHERISKASSOCIATEDWITHENTERPRISETRANSFORMATION
8. Merumuskan implementasi tingkat tinggi dan strategi migrasi yang akan memandu implementasi arsitektur target dan struktur transisi
ARSITEKTUR SINALIGNMENTDENGANPRISESTRATEGI ENTERPRISEGICOBJECTIVESANDTIMES
SKALA )DENTIFYANDGROUPMAJORPAKET KERJASINTOACOHERENTSETOFPROGRAMDANDPROJECTSRESPECTINGTHEENTERPRISESTRATEGISIPLEMENTASI ARAH

dan pendekatan.
10. Kembangkan serangkaian arsitektur transisi seperlunya di mana ruang lingkup perubahan yang diperlukan untuk mewujudkan arsitektur target memerlukan sebuah
pendekatan inkremental.

BAB 5
APO03.04 Mendefinisikan implementasi arsitektur. Dari Keterangan Keterangan Ke

Buat implementasi yang layak dan rencana migrasi dalam
Persyaratan sumber daya BAI01.02
ALIGNMENTWITTHHEPROGRAMMEANDPROJECTPORTFOLIOS
Pastikan bahwa rencana tersebut dikoordinasikan secara erat untuk Deskripsi fase implementasi BAI01.01
memastikan bahwa nilai disampaikan dan sumber daya yang BAI01.02
diperlukan tersedia untuk menyelesaikan pekerjaan yang diperlukan.
Persyaratan tata kelola BAI01.01
arsitektur
Kegiatan
%STABLISHAPAIMPLEMENTASIDAN RENCANA MIGRASICLUDEASPARTOFPROGRAMMEANDPLANNINGPROJECTDAN PASTIKAN ITU SESUAI DENGANNYA

persyaratan pengambil keputusan yang berlaku.
2. Konfirmasikan peningkatan dan fase arsitektur transisi dan perbarui dokumen definisi arsitektur.
3. Menentukan persyaratan tata kelola implementasi arsitektur.
APO03.05 Menyediakan layanan arsitektur perusahaan. Dari Keterangan Keterangan Ke

Penyediaan layanan arsitektur perusahaan dalam perusahaan
Panduan pengembangan BAI02.01
mencakup panduan dan pemantauan
solusi BAI02.02
OFIMPLEMENTATIONPROJECTSFORMALISINGWAYSOF
BAI03.02
bekerja melalui kontrak arsitektur, dan mengukur TAMBAH NILAI
ARSITEKTUR DAN KOMUNIKASI
pemantauan kepatuhan.
Kegiatan
1. Konfirmasikan cakupan dan prioritas dan berikan panduan untuk pengembangan dan penerapan solusi.
-ANAGETHEPORTFOLIOOFENTERPRISEARCHITECTURELAYANANSTOENSUREALIGNMENTDENGANSTRATEGICOBJEKTIFDANSOLUSI PENGEMBANGAN
3. Mengelola persyaratan dan dukungan arsitektur perusahaan dengan prinsip arsitektur, model, dan blok bangunan.
4. Mengidentifikasi dan menyelaraskan prioritas arsitektur perusahaan dengan penggerak nilai. Tentukan dan kumpulkan metrik nilai dan ukur serta komunikasikan perusahaan
nilai arsitektur.
%STABLISHATECHNOLOGYFORUMTOPROVIDEARCHITECTURALGUIDELINESAATASIHONPROYEKSANDGUIDANCEONTHESELECTIONOFTECHNOLOGY -EASURECOMPLIANCE
dengan standar dan pedoman ini, termasuk kepatuhan terhadap persyaratan eksternal dan relevansi bisnisnya.
TOGAF 9 Inti dari TOGAF adalah Architecture Development Method (ADM), yang memetakan praktik COBIT 5 dalam mengembangkan visi
arsitektur (ADM Phase A), mendefinisikan arsitektur referensi (ADM Phases B,C,D), memilih peluang dan solusi ( ADM Fase E),
dan mendefinisikan implementasi arsitektur (ADM Fase F, G). Sejumlah komponen TOGAF dipetakan ke praktik COBIT 5 dalam
menyediakan layanan arsitektur perusahaan. Ini termasuk Manajemen Persyaratan ADM, Prinsip Arsitektur, Manajemen
Pemangku Kepentingan, Penilaian Kesiapan Transformasi Bisnis, Manajemen Risiko, Perencanaan Berbasis Kemampuan,
Kepatuhan Arsitektur, dan Kontrak Arsitektur.


BAB 5
Area: Manajemen
APO04 Manage Innovation Domain: Sejajarkan, Rencanakan, dan Atur
Process Description Menjaga

kesadaran teknologi informasi dan tren layanan terkait, mengidentifikasi peluang inovasi, dan merencanakan bagaimana memanfaatkan inovasi dalam kaitannya dengan kebutuhan bisnis.
Menganalisis peluang inovasi atau peningkatan bisnis apa yang dapat diciptakan oleh teknologi, layanan, atau inovasi bisnis yang didukung TI, serta melalui teknologi mapan yang ada dan
oleh inovasi proses bisnis dan TI. Mempengaruhi perencanaan strategis dan keputusan arsitektur perusahaan.
Process Purpose Statement

Mencapai keunggulan kompetitif, inovasi bisnis, serta meningkatkan efektivitas dan efisiensi operasional dengan memanfaatkan perkembangan teknologi informasi.
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASIWENEFITREALISATIONDIMONITORING melalui
siklus hidup ekonomi penuh s0ERCENTOF)4LAYANANSHEREEDENEFITSARREALISATION

atau melebihi
08 Penggunaan aplikasi, informasi dan solusi teknologi yang memadai s0ERCENTOFBUSINESSPROCESSOWNERSPUAS DENGAN PENDUKUNG)4PRODUK
dan layanan
s,KEMBANGKAN BISNIS PENGGUNAPENGERTIAN BAGAIMANA TEKNOLOGISOLUSI

mendukung proses mereka s3TINGKAT KEPUASAN BISNIS PENGGUNA DENGAN
PELATIHAN DAN PANDUAN PENGGUNA s.06MENUNJUKKAN KEPUASAN
BISNISTINGKAT KUALITAS DAN KEGUNAAN SOF solusi teknologi
09 kelincahan TI s,PERKEMBANGAN KEPUASANBUSINESSEXECUTIVESWITH)4 SRESPONSIFNESSTO

persyaratan baru s.UMBEROFCRITICALBUSINESSPROCESSDIDUKUNG OLEH
HINGGA TANGGAL infrastruktur dan aplikasi s!

TERKAIT

kemungkinan inovasi s,EVELOFSTAKEHOLDERSKEPUASAN DENGAN
LEVELSOF)4INNOVATIONEXPERTISE
dan ide-ide
1. Nilai perusahaan diciptakan melalui kualifikasi dan pementasan kemajuan dan inovasi s)MENINGKATKANPANGSA
yang paling tepat dalam teknologi, metode dan solusi TI. PASARORKOMPETITIFDUETOINNOVATIONS%NTERPRISESTAKEHOLDERPERSEPSIDAN UMPAN BALIK)4INNOVAS
%NTERPRISEOBJECTIVESAREMET DENGAN PENINGKATAN s0ERCENTOFIMPLEMENTEDINITIATIFESTREALISETHEENVISIONEDMANFAAT

KUALITASMANFAATDAN ATAU pengurangan biaya sebagai hasil dari identifikasi s0ERCENTOFIMPLEMENTEDINITIATIVESWITHACLEARLINKAGETOAN
dan implementasi solusi inovatif. TUJUAN PERUSAHAAN
3. Inovasi dipromosikan dan diaktifkan dan merupakan bagian dari budaya s)NCLUSIONOFINNOVATIONOREMERGINGTECHNOLOGY RELATEDOBJEKTIFSIN
perusahaan. tujuan kinerja untuk staf yang relevan s3TAKEHOLDERFEEDBACKANDSURVEYS

Bagan RACI APO04
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO04.01
Menciptakan lingkungan Sebuah RRR R RRRR RR
yang kondusif untuk inovasi.
APO04.02
Mempertahankan pemahaman ARRC RRRR
tentang lingkungan perusahaan.
Rencanakan,
Sejajarkan,
Atur
dan
APO04.03
Memantau dan ARRRR
memindai lingkungan teknologi.
APO04.04
Menilai potensi teknologi ARRRR
Saya saya CCC C
yang muncul dan ide-ide
inovasi.
APO04.05
Merekomendasikan inisiatif saya RRA C RRRR RR
lebih lanjut yang sesuai.
APO04.06
Memantau implementasi dan kira-kira C RCCC CC
penggunaan inovasi.
APO04 Kelola Inovasi

APO04.01 Menciptakan lingkungan yang Dari Keterangan Keterangan Ke
kondusif untuk inovasi.
Rencana inovasi Intern
Ciptakan lingkungan yang kondusif untuk inovasi, dengan
mempertimbangkan isu-isu seperti budaya, penghargaan, Pengakuan dan penghargaan APO07.04
kolaborasi, forum teknologi, dan mekanisme untuk program
mempromosikan dan menangkap ide-ide karyawan.
Kegiatan
#REATEANINNOVATIONPLANTHATINCLUDESRISKAPPETITETHEENVISIONEDBUDGETTOSPENDONINNOVATIONINITIATIVESANDINNOVATIONOBJECTIVES
2. Menyediakan infrastruktur yang dapat menjadi enabler untuk inovasi, seperti alat kolaborasi untuk meningkatkan pekerjaan antara lokasi geografis dan divisi.
3. Menciptakan lingkungan yang kondusif untuk inovasi dengan mempertahankan inisiatif SDM yang relevan, seperti program pengakuan dan penghargaan inovasi,
PEKERJAAN DAN WAKTU KEBIJAKSANAAN UNTUK EKSPERIMENTASI YANG TEPAT
4. Mempertahankan program yang memungkinkan staf untuk mengirimkan ide-ide inovasi dan menciptakan struktur pengambilan keputusan yang tepat untuk dinilai dan diambil
ide-ide ini ke depan.
5. Mendorong ide-ide inovasi dari pelanggan, pemasok dan mitra bisnis.

BAB 5
APO04 Kelola Inovasi (lanjutan)
APO04.02 Mempertahankan pemahaman tentang Dari Keterangan Keterangan Ke

lingkungan perusahaan.
Di luar strategi COBIT Enterprise dan analisis Peluang inovasi terkait APO02.01
Bekerja dengan pemangku kepentingan terkait untuk memahami
SWOT perusahaan dengan penggerak bisnis
tantangan mereka. Mempertahankan pemahaman yang memadai
tentang strategi perusahaan dan lingkungan kompetitif atau kendala
lain sehingga peluang yang dimungkinkan oleh teknologi baru dapat
diidentifikasi.
Kegiatan
1. Pertahankan pemahaman tentang penggerak bisnis, strategi perusahaan, penggerak industri, operasi perusahaan, dan masalah lainnya sehingga potensi
nilai tambah teknologi atau inovasi TI dapat diidentifikasi.
#ONDUCTREGULARMEETINGSWITHBUSINESSUNITSDIVISIDAN ATAU LAINNYA STAKEHOLDERENTITIESTOUNDERSTANDCURRENTPROSES BISNISPROSES

kemacetan, atau kendala lain di mana teknologi atau inovasi TI yang muncul dapat menciptakan peluang.
3. Memahami parameter investasi perusahaan untuk inovasi dan teknologi baru sehingga strategi yang tepat dikembangkan.
APO04.03 Memantau dan memindai lingkungan Dari Keterangan Deskripsi Ke

teknologi.
Di luar COBIT Teknologi yang sedang berkembang Analisis penelitian BAI03.01
Lakukan pemantauan dan pemindaian sistematis ENTERPRISE
kemungkinan inovasi
SEXTERNALENVIRONMENTTOIDENTIFYEMERGING
teknologi yang memiliki potensi untuk menciptakan nilai
(misalnya, dengan mewujudkan strategi perusahaan,
mengoptimalkan biaya, menghindari keusangan, dan
memungkinkan proses perusahaan dan TI dengan lebih baik).
Pantau pasar, lanskap kompetitif, sektor industri, dan tren hukum
dan peraturan untuk dapat menganalisis teknologi atau ide inovasi
yang muncul dalam konteks perusahaan.
Kegiatan
5PENGERTIAN ENTERPRISE SINTERESTANDPOTENTIALFORADOPTINGNEWTEKNOLOGI BARUINNOVASISANDFOKUSAWARENESSUPFORTSONTHEMOSTOPPORTUNISTIC

inovasi teknologi.
0ERFORMRISET PENELITIANPENCARIANLENGKAP LUAR LINGKUNGANTERMASUK SITUS WEB YANG SESUAIJUMLAH DAN KONFERENSISTOIDENTIFIKASI
teknologi yang sedang berkembang.
3. Berkonsultasi dengan pakar pihak ketiga jika diperlukan untuk mengonfirmasi temuan penelitian atau sebagai sumber informasi tentang teknologi yang sedang berkembang.
#APTURESTAFFMEMBERS )4INNOVATIONIDEASANDANALYSETHEMFORPOTENTIALIMPLEMENTATION
APO04.04 Menilai potensi teknologi yang muncul dan Dari Keterangan Keterangan Ke
ide-ide inovasi.
Evaluasi ide BAI03.01
!NALYSEIDENTIFIEDEMERGINGTECHNOLOGIESDAN LAINNYA
inovasi
saran inovasi TI. Bekerja dengan pemangku kepentingan
untuk memvalidasi asumsi tentang potensi teknologi dan Ruang lingkup bukti konsep APO05.03
inovasi baru. dan garis besar kasus bisnis APO06.02
Hasil pengujian dari Intern

inisiatif proof-of-concept
Kegiatan
1. Mengevaluasi teknologi yang teridentifikasi, dengan mempertimbangkan aspek-aspek seperti waktu untuk mencapai kedewasaan, risiko yang melekat pada teknologi baru (termasuk potensi hukum
implikasi), sesuai dengan arsitektur perusahaan, dan berpotensi memberikan nilai tambah.
2. Identifikasi masalah apa pun yang mungkin perlu diselesaikan atau dibuktikan melalui inisiatif pembuktian konsep.
3. Lingkup inisiatif proof-of-concept, termasuk hasil yang diinginkan, anggaran yang dibutuhkan, kerangka waktu dan tanggung jawab.
4. Dapatkan persetujuan untuk inisiatif proof-of-concept.
5. Melakukan inisiatif pembuktian konsep untuk menguji teknologi yang muncul atau ide inovasi lainnya, mengidentifikasi masalah apa pun, dan menentukan apakah lebih lanjut
implementasi atau peluncuran harus dipertimbangkan berdasarkan kelayakan dan potensi ROI.

APO04 Kelola Inovasi (lanjutan)
APO04.05 Merekomendasikan inisiatif Dari Keterangan Keterangan Ke

lebih lanjut yang sesuai.
Hasil dan APO02.03
Evaluasi dan pantau hasil inisiatif proof-of-concept dan, jika
rekomendasi dari inisiatif BAI03.09
menguntungkan, buat rekomendasi untuk inisiatif lebih lanjut dan
proof-of-concept
dapatkan dukungan pemangku kepentingan.
!NALYSISOFREJECTED APO02.03
inisiatif BAI03.08
Kegiatan
1. Dokumentasikan hasil proof-of-concept, termasuk panduan dan rekomendasi untuk tren dan program inovasi.
2. Mengkomunikasikan peluang inovasi yang layak ke dalam strategi TI dan proses arsitektur perusahaan.
3. Menindaklanjuti inisiatif proof-of-concept untuk mengukur sejauh mana mereka telah dimanfaatkan dalam investasi aktual.
!NALYSEANDCOMMUNICATEREASONFOREJECTEDBUKTI KONSEPSITIF
APO04.06 Memantau implementasi dan penggunaan Dari Keterangan Keterangan Ke

inovasi.
Penilaian menggunakan APO02.04
Memantau penerapan dan penggunaan teknologi dan
pendekatan inovatif BAI03.02
inovasi yang muncul selama integrasi, adopsi dan untuk
siklus hidup ekonomi penuh untuk memastikan bahwa manfaat Evaluasi APO05.04
yang dijanjikan terwujud dan untuk mengidentifikasi pelajaran manfaat inovasi
yang dipetik.
!Rencana InovasiDJUSTEDInternal
Kegiatan
1. Menilai penerapan teknologi baru atau inovasi TI yang diadopsi sebagai bagian dari strategi TI dan pengembangan arsitektur perusahaan dan
realisasi selama pengelolaan program inisiatif.
2. Menangkap pelajaran dan peluang untuk perbaikan.
!DIBUTUHKAN DJUSTTHEINNOVATIONPLANIF
4. Mengidentifikasi dan mengevaluasi nilai potensial yang ingin diwujudkan dari penggunaan inovasi.
.SATU

BAB 5
Area: Manajemen
APO05 Kelola Portofolio Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Jalankan arahan strategis yang ditetapkan untuk investasi sejalan dengan visi arsitektur perusahaan dan karakteristik yang diinginkan dari investasi dan portofolio layanan terkait, dan
pertimbangkan berbagai kategori investasi dan sumber daya serta kendala pendanaan. Mengevaluasi, memprioritaskan DAN KESEIMBANGAN PROGRAM DAN LAYANAN MENGELOLA
PERMINTAAN DALAM SUMBER DAYA DAN KENDALA PENDANAAN BERDASARKAN ALIGNMENT MEREKA DENGAN TUJUAN STRATEGIS Nilai dan risiko perusahaan. Pindahkan
program yang dipilih ke dalam portofolio layanan aktif untuk dieksekusi. Memantau kinerja keseluruhan
PORTFOLIOOFSERVICESANDPROGRAMMESPROPOSINGADJUSTMENTASNECESSARYINRESPONSETOPROGRAMDSERVICEPERFORMANCEORCHANGING
prioritas perusahaan.

Mengoptimalkan kinerja keseluruhan portofolio program dalam menanggapi kinerja program dan layanan serta mengubah prioritas dan tuntutan perusahaan.

tujuan strategis s,
KEPUASAN PEMEGANG PASANG KEPUASAN TERHADAP FOLIOF PORTOFOLIOFTHREPLANNED
program dan layanan
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASISEMANAMANFAATREALISASIDIMONITORASI
melalui siklus hidup ekonomi penuh

s0ERCENTOF)4LAYANANSWHEREEDIHARAPKAN MANFAATNYATERNYATA
s0ERCENTOF)4 AKTIFKAN INVESTASISHERECLAIMEDBENEFITSAREMET
atau melebihi
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, dan s.UMBEROFPROGRAMMES PROJECTSONTIMEANDWITHINBUDGET
memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUAS DENGAN PROGRAMKUALITAS PROYEK
s.UMBEROFPROGRAMMENETINGINGSIGNIFIKANKEKERJAAN DUETTOKUALITASCACAT
s#OSTOFAPPLICATIONMAINTENANCEVS KESELURUHAN)4BIAYA
1. Campuran investasi yang tepat ditentukan dan diselaraskan dengan s0ERCENTOF)4INVESTASI YANG MEMILIKI KEMAMPUAN PELACAKAN TERHADAP STRATEGI ENTERPRISE
strategi perusahaan. s$EGREETOWHICHENTERPRISEMANAGEMENTKEPUASAN DENGAN)4 S

kontribusi untuk strategi perusahaan
2. Sumber pendanaan investasi diidentifikasi dan tersedia. s2ATIOBETWEENFUNDSALLOCATEDANDFUNDSUSED

s2ATIOANTARA DANA TERSEDIA DAN DANA TERSEDIA
3. Kasus bisnis program dievaluasi dan diprioritaskan sebelum dana s0ERCENTOFBUSINESSUNITSTERLIBAT DALAMEVALUASIDAN
dialokasikan. proses penentuan prioritas
4. Adanya pandangan yang komprehensif dan akurat tentang kinerja portofolio s,PERKEMBANGAN KEPUASAN TERHADAP LAPORAN PEMANTAUAN PORTOFOLIO
investasi.
5. Perubahan program investasi tercermin dalam portofolio layanan, aset, dan sumber daya TI s0ERCENTOFCCHESFROMTHEINCESTMENTPROGRAMMEREFLECTEDINHE
yang relevan. portofolio TI yang relevan
6. Manfaat telah terwujud karena pemantauan manfaat. s0ERCENTOINVESTMENTSHEREALISEDBENEFITSTEUSDIUKURDAN
dibandingkan dengan kasus bisnis

Bagan RACI APO05
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO05.01
Menetapkan bauran ARR C saya CC CCCC

investasi yang ditargetkan.
APO05.02
Menentukan ketersediaan dan MOBIL C R
sumber dana.
APO05.03
Rencanakan,
Sejajarkan,
Atur
dan
Mengevaluasi dan memilih program yang MOBIL R R R RC

akan didanai.
APO05.04
Memantau,
Saya CCCCCR A CCCC C
mengoptimalkan, dan
melaporkan kinerja portofolio investasi.
APO05.05
Saya Saya RCA R R CC C
Menjaga portofolio.
APO05.06
CCCAR IR Saya CCRC C
Mengelola pencapaian manfaat.
APO05.01 Menetapkan bauran investasi yang ditargetkan. Dari Keterangan Keterangan Ke

Tinjau dan pastikan kejelasan strategi perusahaan dan
EDM02.02 Jenis dan kriteria Bauran investasi yang pasti Intern
TI serta layanan saat ini. Tentukan campuran investasi yang
investasi
tepat berdasarkan biaya, keselarasan dengan strategi, dan
ukuran keuangan seperti biaya dan ROI yang diharapkan APO02.05 s3TRATEGICROADMAP Mengidentifikasi sumber daya dan Intern
selama siklus hidup ekonomi penuh, tingkat risiko, dan jenis PENILAIAN S2ICE kemampuan yang diperlukan
KEUNTUNGAN UNTUK PROGRAMMES DALAM PORTOFOLIO !DJUSTTHE inisiatif untuk mendukung strategi
perusahaan dan strategi TI jika diperlukan. s$EFINITIONOFSTRATEGIC
inisiatif
APO06.02 Prioritas dan peringkat Umpan balik tentang APO02.05

inisiatif TI strategi dan tujuan
APO09.01 Definisi
layanan standar
BAI03.11 Definisi layanan
Kegiatan
6ALIDASI BAHWA)4 AKTIFKAN INVESTASI DAN SAAT INI)4 LAYANAN SESUAI DENGAN VISI ENTERPRISEPRISEPRISEPLESSTRATEGIKOALSANDOBJEKTIFVisi
dan prioritas arsitektur perusahaan.
2. Memperoleh pemahaman yang sama antara TI dan fungsi bisnis lainnya tentang peluang potensial bagi TI untuk mendorong dan mendukung
strategi perusahaan.
3. Menciptakan bauran investasi yang mencapai keseimbangan yang tepat di antara sejumlah dimensi, termasuk keseimbangan yang tepat antara jangka pendek dan jangka panjang
pengembalian, keuntungan finansial dan non-finansial, dan investasi berisiko tinggi dan rendah.
4. Mengidentifikasi kategori luas sistem informasi, aplikasi, data, layanan TI, infrastruktur, aset TI, sumber daya, keterampilan, praktik, kontrol, dan
hubungan yang diperlukan untuk mendukung strategi perusahaan.
5. Menyetujui strategi dan tujuan TI, dengan mempertimbangkan hubungan timbal balik antara strategi perusahaan dan layanan TI, aset, dan lainnya
sumber daya. Mengidentifikasi dan memanfaatkan sinergi yang dapat dicapai.

BAB 5
APO05.02 Menentukan ketersediaan dan sumber Dari Keterangan Keterangan Ke

dana.
Opsi pendanaan APO02.05
Menentukan sumber dana potensial, pilihan pendanaan yang berbeda
dan implikasi sumber pendanaan terhadap ekspektasi pengembalian Pengembalian investasi EDM02.01
investasi. harapan APO02.04
APO06.02
BAI01.06
Kegiatan
1. Memahami ketersediaan dan komitmen dana saat ini, pengeluaran yang disetujui saat ini, dan jumlah aktual yang dibelanjakan hingga saat ini.
2. Identifikasi opsi untuk memperoleh dana tambahan untuk investasi yang mendukung TI, secara internal dan dari sumber eksternal.
3. Menentukan implikasi sumber pendanaan terhadap ekspektasi pengembalian investasi.
APO05.03 Mengevaluasi dan memilih program yang akan didanai. Dari Keterangan Keterangan Ke
Berdasarkan persyaratan bauran portofolio investasi
EDM02.01 s%VALUATIONOFINVESTMENT Program kasus bisnis APO06.02
secara keseluruhan, evaluasi dan prioritaskan kasus bisnis
dan portofolio layanan BAI01.02
program, dan putuskan proposal investasi.
s%VALUATIONOF
Mengalokasikan dana dan memulai program.
keselarasan strategis
EDM02.02 Jenis dan kriteria Penilaian kasus APO06.02

investasi bisnis BAI01.06
APO03.01 Kasus bisnis konsep Program yang dipilih dengan EDM02.01

arsitektur dan proposisi Pencapaian ROI BAI01.04
nilai
APO04.04 Ruang lingkup bukti konsep

dan garis besar kasus bisnis
APO06.03 s"UDGETKOMUNIKASI
s)4ANGGARAN DAN RENCANA
APO09.01 Kesenjangan yang

teridentifikasi dalam layanan TI untuk bisnis
APO09.03 Tingkatan Jasa Persetujuan

(SLA)
BAI01.02 s0ROGRAMMEMANFAAT
rencana realisasi
s0ROGRAMMEMANDATE
dan singkat
s0ROGRAMMECONCEPT
kasus bisnis
Kegiatan
1. Mengenali peluang investasi dan mengklasifikasikannya sesuai dengan kategori portofolio investasi. Tentukan hasil perusahaan yang diharapkan,
semua inisiatif yang diperlukan untuk mencapai hasil yang diharapkan, biaya, ketergantungan dan risiko, dan bagaimana semua akan diukur.
2. Melakukan penilaian rinci dari semua kasus bisnis program, mengevaluasi keselarasan strategis, manfaat perusahaan, risiko dan ketersediaan sumber daya.
3. Menilai dampak pada portofolio investasi keseluruhan dari penambahan program kandidat, termasuk perubahan apa pun yang mungkin diperlukan untuk
program lainnya.
$ECIDEWHICCHANDIDATEPROGRAMMESHARUS DIMOVEDTOHEACTIVEINVESTMENTPORTFOLIO $ECIDEAPAKAH DITOLAKPROGRAMSEHARUSNYADIHELDFOR

pertimbangan masa depan atau disediakan dengan beberapa pendanaan awal untuk menentukan apakah kasus bisnis dapat ditingkatkan atau dibuang.
$ETERMINEHEREQUIREDMILESTONESFOREACHSELECTEDPROGRAMME SFULLECONOMICLIFECYCLE !LLOCATEANDRESERVETOTALPROGRAMMEFUNDINGPER

tonggak pencapaian. Pindahkan program ke dalam portofolio investasi aktif.
6. Menetapkan prosedur untuk mengomunikasikan aspek biaya, manfaat, dan risiko yang terkait dari portofolio ini dengan prioritas anggaran, manajemen biaya, dan
proses manajemen manfaat.

APO05.04 Memantau, mengoptimalkan, dan Dari Keterangan Keterangan Ke

melaporkan kinerja portofolio investasi.
EDM02.01 Evaluasi portofolio investasi Laporan kinerja EDM02.03
Secara teratur, pantau dan optimalkan kinerja
dan jasa portofolio investasi APO09.04
portofolio investasi dan program individu di seluruh siklus hidup
BAI01.06
investasi. EDM02.03 s!CTIONSTOIMPROVE
MEA01.03
pengiriman nilai
s&EEDBACKONPORTFOLIO
dan kinerja program
APO04.06 Evaluasi
manfaat inovasi
Kegiatan
1. Meninjau portofolio secara berkala untuk mengidentifikasi dan memanfaatkan sinergi, menghilangkan duplikasi antar program, serta mengidentifikasi dan memitigasi risiko.
2. Ketika terjadi perubahan, evaluasi kembali dan prioritaskan kembali portofolio untuk memastikan bahwa portofolio selaras dengan strategi bisnis dan bauran target investasi
tetap terjaga sehingga portofolio mengoptimalkan nilai secara keseluruhan. Ini mungkin memerlukan program untuk diubah, ditangguhkan atau dihentikan, dan program baru
dimulai.
!DJUSTTHEENTERPRISETARGETSPORECASTSBUDGETSANDIFREDIREDTHEDEGREEOFMONITORINGTORCANTUMKAN PENGELUARAN UNTUK DILAKUKAN DANENTERPRISE

manfaat yang akan diwujudkan oleh program-program dalam portofolio investasi aktif. Memasukkan pengeluaran program ke dalam mekanisme tolak bayar.
4. Memberikan gambaran yang akurat tentang kinerja portofolio investasi kepada seluruh pemangku kepentingan.
0ROVIDELAPORAN MANAJEMENUNTUK TINJAUAN MANAJEMEN SENIOR PROGRES PERUSAHAANSSTOWARDSIDENTIFIKASI SASARANMENNYATAKAN YANG MASIH DIBUTUHKANSTOBE
dihabiskan dan dicapai selama apa kerangka waktu.
)MASUKKAN INFORMASI PEMANTAUAN KINERJA REGULERPENGENALAN TUJUAN YANG DIRENCANAKAN TELAH MENCAPAI RISIKO MITIGASI KEMAMPUAN
dibuat, kiriman diperoleh dan target kinerja terpenuhi.
7. Identifikasi penyimpangan untuk:

s"KONTROL UDGET ANTARA SEBENARNYA DAN ANGGARAN
s"ENEFITMANAGEMENTOF
n!TARGET CUALVSFOINVESTASIFORSOLUSIMUNGKIN DINYATAKAN INTERMSOF2/).06ORINTERNALRATEOFRETURN )22– Tren aktual
biaya portofolio layanan untuk peningkatan produktivitas penyampaian layanan
$EVELOPMETRICSFORMEASURING)4 SCONTRIBUTIONTOTHEENTERPRISEANDESTABLISHAPUPPERFORMANCEPERFORMANCETARGETSREFLECTINGTHEPERIRED)4AND
target kemampuan perusahaan. Gunakan panduan dari pakar eksternal dan data benchmark untuk mengembangkan metrik.
Masukan Praktik Manajemen APO05.05 Mempertahankan portofolio. Keluaran
Dari Deskripsi Keterangan Ke

Memelihara portofolio program dan PROYEK investasi)4LAYANAN DAN)4ASET
BAI01.14 Komunikasi pensiun Portofolio program, APO09.02
program dan akuntabilitas layanan, dan aset yang BAI01.01
berkelanjutan diperbarui
BAI03.11 Portofolio layanan yang diperbarui
Kegiatan
1. Membuat dan memelihara portofolio program investasi yang mendukung TI, layanan TI, dan aset TI, yang menjadi dasar anggaran TI saat ini dan
mendukung rencana taktis dan strategis TI.
2. Bekerja dengan manajer pengiriman layanan untuk mempertahankan portofolio layanan dan dengan manajer operasi dan arsitek untuk mempertahankan portofolio aset.
Prioritaskan portofolio untuk mendukung keputusan investasi.
3. Hapus program dari portofolio investasi aktif ketika keuntungan perusahaan yang diinginkan telah tercapai atau ketika jelas keuntungannya
tidak akan tercapai dalam kriteria nilai yang ditetapkan untuk program.

BAB 5
APO05.06 Mengelola pencapaian manfaat. Dari Keterangan Keterangan Ke

Memantau manfaat dari penyediaan dan pemeliharaan
BAI01.04 Daftar anggaran dan manfaat Hasil manfaat dan komunikasi EDM02.01
layanan dan kemampuan TI yang sesuai, berdasarkan kasus bisnis
program terkait APO09.04
yang disepakati dan saat ini.
BAI01.06
BAI01.05 Hasil pemantauan Tindakan korektif untuk APO09.04

realisasi manfaat meningkatkan realisasi manfaat BAI01.06
Kegiatan
5SETHEAGREEDONMETRICSDTRACKHOWMANFAAT MENCAPAI BAGAIMANA MEREKA BERKEMBANG MELALUITHELIFECYCLEOFPROGRAMDANDPROJECTSHOWTHEYARE

disampaikan dari layanan TI, dan bagaimana mereka dibandingkan dengan tolok ukur internal dan industri. Mengkomunikasikan hasil kepada pemangku kepentingan.
2. Menerapkan tindakan korektif ketika manfaat yang dicapai secara signifikan menyimpang dari manfaat yang diharapkan. Perbarui kasus bisnis untuk inisiatif baru dan terapkan proses
bisnis dan peningkatan layanan sesuai kebutuhan.
3. Pertimbangkan untuk mendapatkan panduan dari pakar eksternal, pemimpin industri, dan data pembandingan komparatif untuk menguji dan meningkatkan metrik dan target.
)3/ )%# s
-TANGGUNG JAWAB MANAJEMEN
s
0LANNINGANDIMPLEMENTINGSERVICEMANAGEMENT
s
)4),6 3. Manajemen Portofolio Layanan
Kerangka Keterampilan untuk Informasi

Usia (SFIA)


BAB 5
Area: Manajemen
APO06 Kelola Anggaran dan Biaya Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Mengelola aktivitas keuangan terkait TI dalam fungsi bisnis dan TI, yang mencakup anggaran, manajemen biaya dan manfaat, dan memprioritaskan pengeluaran
melalui penggunaan praktik penganggaran formal dan sistem alokasi biaya yang adil dan merata untuk perusahaan. Konsultasikan dengan pemangku kepentingan
untuk mengidentifikasi dan mengendalikan total biaya dan manfaat dalam konteks rencana strategis dan taktis TI, dan memulai tindakan korektif jika diperlukan.

Membina kemitraan antara TI dan pemangku kepentingan perusahaan untuk memungkinkan penggunaan sumber daya terkait TI secara efektif dan efisien dan memberikan
transparansi dan akuntabilitas biaya dan nilai bisnis dari solusi dan layanan. Memungkinkan perusahaan untuk membuat keputusan berdasarkan informasi mengenai
penggunaan solusi dan layanan TI.
Rencanakan
Sejajarkan,
Atur
dan Proses tersebut mendukung pencapaian serangkaian tujuan utama terkait TI:
Tujuan terkait TI
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI

Metrik Terkait
s0ERCENTOF)4 AKTIFKAN INVESTASISEMANAMANFAATREALISASIDIMONITORASI

s0ERCENTOF)4LAYANANSWHEREEDIHARAPKAN MANFAATNYATERNYATA
s0ERCENTOF)4 AKTIFKAN INVESTASISHERECLAIMEDBENEFITSAREMET
atau melebihi

1. Anggaran yang transparan dan lengkap untuk TI secara akurat mencerminkan s.UMBEROFBUDGETCHANGESDUETOOMISSIONSANDERRORS
pengeluaran yang direncanakan. s.UMBERSOFDEVIATIONDIANTARAKATEGORI-KATEGORI ANGGARAN YANG DIHARAPKAN DAN SEBENARNYA
2. Alokasi sumber daya TI untuk inisiatif TI diprioritaskan berdasarkan s0ERCENTOFALIGNMENTOF)4SUMBERDAYA DENGAN PRIORITAS TINGGI
kebutuhan perusahaan. s.UMBEROFRESOURCEALLOCATIONISSUESESCALATE
3. Biaya untuk layanan dialokasikan secara adil. s0ERCENTOFOVERALL)4BIAYASTHATAREALLOCATEDACORDINGTO

model biaya yang disepakati
4. Anggaran dapat secara akurat dibandingkan dengan biaya yang sebenarnya. s0ERCENTOFVARIANCEAANTARASTBUDGETSPRECASTSANDAKTUALBIAYA
Bagan RACI APO06
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO06.01
ACC CR CC R
Mengelola keuangan dan akuntansi.
APO06.02
IR CCC I CC I AI CCRCC
Prioritaskan alokasi sumber daya.
APO06.03
ITU CCCCCC RCCCRCCC
Membuat dan memelihara anggaran.
APO06.04
C CCCCCC ACCCRCC
Model dan alokasi biaya.
APO06.05
R CCCCCC ACCCRCC
Mengelola biaya.

APO06.01 Mengelola keuangan dan akuntansi. Dari Keterangan Keterangan Ke

Menetapkan dan memelihara metode untuk memperhitungkan
BAI09.01 Daftar aset Proses akuntansi Intern
semua biaya, investasi, dan depresiasi terkait TI sebagai bagian
integral dari sistem keuangan perusahaan dan bagan akun Skema klasifikasi Intern
untuk mengelola investasi dan biaya TI. Menangkap dan biaya TI
mengalokasikan biaya aktual, menganalisis varians antara
Praktik perencanaan Intern
perkiraan dan biaya aktual, DANREPORTUSINGTHEENTERPRISE
keuangan
SFINANCIAL
sistem pengukuran.
Kegiatan
1. Tetapkan proses, input dan output, dan tanggung jawab yang selaras dengan kebijakan dan pendekatan penganggaran dan akuntansi biaya perusahaan untuk
secara sistematis mendorong penganggaran dan penetapan biaya TI; memungkinkan estimasi biaya dan manfaat TI yang adil, transparan, dapat diulang, dan sebanding untuk
masukan ke portofolio program bisnis yang mendukung TI; dan memastikan bahwa anggaran dan biaya dipertahankan dalam portofolio aset dan layanan TI.
2. Tentukan skema klasifikasi untuk mengidentifikasi semua elemen biaya terkait TI, bagaimana mereka dialokasikan di seluruh anggaran dan layanan, dan bagaimana mereka ditangkap.
3. Gunakan informasi keuangan dan portofolio untuk memberikan masukan pada kasus bisnis untuk investasi baru dalam aset dan layanan TI.
4. Menentukan cara menganalisis, melaporkan (kepada siapa dan bagaimana), dan menggunakan proses pengendalian anggaran dan manajemen manfaat.
5. Menetapkan dan memelihara praktik untuk perencanaan keuangan, manajemen investasi dan pengambilan keputusan, dan optimalisasi biaya operasional berulang untuk memberikan
nilai maksimum kepada perusahaan dengan pengeluaran paling sedikit.
APO06.02 Prioritaskan alokasi sumber daya. Dari Keterangan Keterangan Ke

Menerapkan proses pengambilan keputusan untuk
EDM02.01 Evaluasi portofolio investasi Prioritas dan peringkat inisiatif APO05.01
memprioritaskan alokasi sumber daya dan aturan untuk investasi
dan jasa TI
bebas oleh masing-masing unit bisnis. Sertakan potensi
penggunaan penyedia layanan eksternal dan pertimbangkan opsi EDM02.03 Tindakan untuk meningkatkan Alokasi anggaran APO02.05
beli, kembangkan, dan sewa. penyampaian nilai APO05.03
APO07.05
APO04.04 Ruang lingkup bukti konsep
BAI03.11
dan garis besar kasus bisnis
APO05.02 Ekspektasi
pengembalian investasi
APO05.03 s"USINESSCASE
penilaian
s0ROGRAMMEBUSINESS
kasus
Kegiatan
1. Membentuk badan pembuat keputusan untuk memprioritaskan bisnis dan sumber daya TI, termasuk penggunaan penyedia layanan eksternal dalam alokasi anggaran tingkat tinggi
untuk program yang mendukung TI, layanan TI, dan aset TI sebagaimana ditetapkan oleh rencana strategis dan taktis. Pertimbangkan opsi untuk membeli atau mengembangkan aset
dan layanan yang dikapitalisasi vs. aset dan layanan yang digunakan secara eksternal berdasarkan pembayaran untuk penggunaan.
2. Beri peringkat semua inisiatif TI berdasarkan kasus bisnis dan rencana strategis dan taktis, dan tetapkan prosedur untuk menentukan alokasi anggaran dan cut-off.
Menetapkan prosedur untuk mengomunikasikan keputusan anggaran dan meninjaunya dengan pemegang anggaran unit bisnis.
3. Mengidentifikasi, mengomunikasikan, dan menyelesaikan dampak signifikan dari keputusan anggaran pada kasus bisnis, portofolio, dan rencana strategi (misalnya, ketika anggaran
mungkin MEMBUTUHKAN REVISI DUETOCHANGINGENTERPRISECIRCUSTANCEKAPANCUKUPMENDUKUNGSTRATEGICOBJECTIVESORBUSINESSCASETUJUAN/
BTAINRATIFIKASI LEBIH BANYAK MENDUKUNGSTRATEGICOBJECTIVESORBUSINESSCASETUJUAN/BTAINRATIFIKASI TERLEBIH DAHULU

menawarkan tindakan yang disarankan untuk mengatasi dampak ini.

BAB 5
APO06.03 Membuat dan memelihara anggaran. Dari Keterangan Keterangan Ke

Siapkan anggaran yang mencerminkan prioritas investasi
Anggaran dan rencana TI APO02.05
STRATEGI PENDUKUNG BERDASARKAN FOLIOOF
APO05.03
Program dan layanan TI yang mendukung TI.
APO07.01
BAI03.11
Komunikasi anggaran APO02.05

APO05.03
APO07.01
BAI03.11
Kegiatan
1. Menerapkan anggaran TI formal, termasuk semua biaya TI yang diharapkan dari program yang mendukung TI, layanan TI, dan aset TI seperti yang diarahkan oleh strategi,
program dan portofolio.
2. Saat membuat anggaran, pertimbangkan komponen-komponen berikut: s!

LIGNMENT WITHTHEBUSINESS
s!LIGNMENTDENGAN STRATEGI SUMBER
s! SUMBER RESMI OFFUNDING
s) BIAYA SUMBER DAYA INTERN TERMASUK PERSONIL INFORMASI ASET DAN AKOMODASI
s4BIAYA PIHAK KETIGA TERMASUK OUTSOURCING KONTRAK KONSULTAN DAN PENYEDIA JASA
s#APITALANDOPERATIONALEXPENSES
s#OSTELEMENTSTHATDEPENDONTHEWORKLOAD
$OCUMENTTHERATIONALETOJUSTIFYKONTINGENSIDAN TINJAUANNYA SECARA
TERATUR )NSTRUCTPROCESSSERVICEANDPROGRAMMEOWNERSASWELLASPROJECTANDASSETMANAGERSTOPLANBUDGETS
2EVIEWTHEBUDGETPLANSANDMAKEDECISIONSABOUTBUDGETALLOCATIONS#OMPILEANDBASEDTHSENEDEEANDADJUS
pertimbangan keuangan.
2ECORDMAINTAINANDCOMMUNICATETHECURRENT)4ANGGARAN TERMASUK PENGELUARAN BERKOMITMEN DAN PENGELUARAN LANCAR DIPERTIMBANGKAN) 4 PROYEK

dicatat dalam portofolio investasi yang mendukung TI dan operasi dan pemeliharaan portofolio aset dan layanan.
7. Memantau efektivitas berbagai aspek penganggaran dan menggunakan hasilnya untuk melaksanakan perbaikan guna memastikan bahwa anggaran di masa mendatang lebih akurat, andal,
dan hemat biaya.
APO06.04 Model dan alokasi biaya. Dari Keterangan Keterangan Ke

Menetapkan dan menggunakan model penetapan biaya TI
Biaya TI yang dikategorikan Intern
berdasarkan definisi layanan, memastikan bahwa alokasi biaya
untuk layanan dapat diidentifikasi, diukur, dan dapat diprediksi, Model alokasi biaya Intern
untuk mendorong penggunaan sumber daya yang bertanggung
Komunikasi Intern
jawab termasuk yang disediakan oleh penyedia layanan. Secara
alokasi biaya
teratur meninjau dan membandingkan kesesuaian BIAYA
CHARGEBACKMODELTOMAINTAINITSRELEVANCEAND Prosedur operasional Intern
kesesuaian dengan bisnis yang berkembang dan
kegiatan TI.
Kegiatan
1. Mengkategorikan semua biaya TI dengan tepat, termasuk yang berkaitan dengan penyedia layanan, menurut manajemen perusahaan
kerangka akuntansi.
)KATALOGKATALOGKATALOGKATALOGKENENTIFIKASILAYANANSUBJECTTOUSERCHARGEBACKANDTHOSETTHARESHAREDSERVICES
3. Tentukan dan setujui model yang:

s3UPPORTSTHECALCULATIONOFCHARGEBACKRATESPERSERVICE
s$EFINESHOW)4BIAYADIHITUNG DIKENAKAN
s)DIFERENSIASIKAN DIMANA DAN KAPAN TEPAT
s) SESUAI DENGAN) 4 ANGGARAN
4. Rancang model biaya agar cukup transparan untuk memungkinkan pengguna mengidentifikasi penggunaan dan biaya aktual mereka, dan untuk lebih memungkinkan prediktabilitas TI
biaya dan pemanfaatan sumber daya TI yang efisien dan efektif.
5. Setelah ditinjau dengan departemen pengguna, dapatkan persetujuan dan komunikasikan input dan output model penetapan biaya TI kepada manajemen
departemen pengguna.
#OMMUNICATECHANGESINTHECOST CHARGEBACKMODELWITHENTERPRISEPROCESSOWNERS

APO06.05 Mengelola biaya. Dari Keterangan Keterangan Ke

Menerapkan proses manajemen biaya yang membandingkan
EDM02.03 Umpan balik tentang kinerja Metode pengumpulan Intern
biaya aktual dengan anggaran. Biaya harus dipantau dan dilaporkan
portofolio dan program data biaya
dan, dalam kasus penyimpangan, diidentifikasi secara tepat waktu
dan dampaknya terhadap proses dan layanan perusahaan dinilai. BAI01.02 Rencana realisasi Metode konsolidasi biaya Internal
manfaat program
BAI01.04 Daftar anggaran dan manfaat Peluang pengoptimalan AP02.02

program biaya
BAI01.05 Hasil pemantauan

realisasi manfaat
Kegiatan
1. Pastikan otoritas dan independensi yang tepat antara pemegang anggaran TI dan individu yang menangkap, menganalisis, dan melaporkan informasi keuangan.
2. Menetapkan skala waktu untuk pengoperasian proses manajemen biaya sesuai dengan penganggaran dan persyaratan akuntansi.
3. Tentukan metode pengumpulan data yang relevan untuk mengidentifikasi penyimpangan untuk:
s"KONTROL UDGET ANTARA SEBENARNYA DAN ANGGARAN
s"ENEFITMANAGEMENTOF n!
CUALVS TARGETSFORINVESTASIFORSOLUSI MUNGKIN DINYATAKANINTERMSOF2/).06OR)22
– Tren aktual biaya layanan untuk optimalisasi biaya layanan (misalnya, didefinisikan sebagai biaya per pengguna)
– Aktual vs. anggaran untuk peningkatan respons dan prediktabilitas penyampaian solusi
s#OSTDISTRIBUTIONANTARA BIAYA ENDIRECTANDINDIRECTDANDUNABSERBED
4. Tentukan bagaimana biaya dikonsolidasikan untuk tingkat yang sesuai dalam perusahaan dan bagaimana mereka akan disajikan kepada para pemangku kepentingan. Laporan memberikan
informasi untuk memungkinkan identifikasi tepat waktu dari tindakan korektif yang diperlukan.
5. Instruksikan mereka yang bertanggung jawab atas manajemen biaya untuk menangkap, mengumpulkan dan mengkonsolidasikan data, dan menyajikan dan melaporkan data ke pihak yang sesuai.
ANGGARAN PEMILIK "UDGETANALYSTSANDOWNERSBERSAMA ANALISISDEVIASIDANPERBANDINGANKINERJATOINTERNALANDINDUSTRIPENTINGAN 4HERESULTOF
analisis memberikan penjelasan tentang penyimpangan yang signifikan dan tindakan korektif yang disarankan.
6. Pastikan bahwa tingkat manajemen yang tepat meninjau hasil analisis dan menyetujui tindakan korektif yang disarankan.
7. Menyelaraskan anggaran dan layanan TI dengan infrastruktur TI, proses perusahaan, dan pemilik yang menggunakannya.
8. Pastikan bahwa perubahan dalam struktur biaya dan kebutuhan perusahaan telah diidentifikasi dan anggaran dan prakiraan direvisi sesuai kebutuhan.
9. Secara berkala, dan terutama ketika anggaran dipotong karena kendala keuangan, identifikasi cara untuk mengoptimalkan biaya dan memperkenalkan efisiensi
TANPA LAYANAN JEOPARDISING
)3/ )%# 6.4 Penganggaran dan akuntansi untuk layanan TI
)4),6 2. Manajemen Keuangan

BAB 5
Area: Manajemen
APO07 Kelola Sumber Daya Manusia Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi Proses Memberikan pendekatan

terstruktur untuk memastikan penataan, penempatan, hak keputusan, dan keterampilan sumber daya manusia yang optimal. Ini termasuk mengkomunikasikan peran dan
tanggung jawab yang ditentukan, rencana pembelajaran dan pertumbuhan, dan ekspektasi kinerja, didukung oleh orang-orang yang kompeten dan termotivasi.
Pernyataan Tujuan Proses /

PTIMISEHUMANRESOURCESCAPABILITIESTOMEETENTERPRISEOBJECTIVES
Proses mendukung pencapaian serangkaian tujuan utama terkait TI:

sasaran strategis s,KEMBANGKAN PEMEGANG PEMEGANG KEPUASAN TERHADAP
SCOPEOFTHELANNEDPORTFOLIOOF program dan layanan
s0ERCENTOF)4VALUEDRIVERSMAPEDTOBUSINESSVALUEDRIVERS

TERKAIT
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai Bumbuan -programmes proyek -proyek yang dapat diubah dengan
anggaran, dan memenuhi persyaratan dan standar kualitas proyek -proyek yang diprogram dengan programmme. Bumbau -bumbu.
16 Personel bisnis dan TI yang kompeten dan termotivasi
17 Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis s,EVELOFBUSINESSEXECUTIVEAWARENESSANDUNDERSTANDINGOF

kemungkinan inovasi TI,
KEPUASAN PEMEGANG PEMEGANG SAHAM
dan ide-ide
1. Struktur dan hubungan organisasi TI fleksibel dan responsif. s.UMBEROFLAYANANDEFINISIDANKATALOG LAYANAN

s,EVELOFEXECUTIVEKEPUASAN TERHADAP MANAJEMEN PENGAMBILAN
KEPUTUSAN s.UMBEROFECISIONS YANG TIDAK DAPAT DISELESAIKAN
DALAM struktur MANAJEMEN dan ditingkatkan ke struktur tata kelola
2. Sumber daya manusia dikelola secara efektif dan efisien. s0ERCENTOFSTAFFTURNOVER

s!VERAGEDURASIVACANCES
s0ERCENTOF)4POSTSVACANT

Bagan RACI APO07
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO07.01
Mempertahankan staf R Saya R ARRRRRR
yang memadai dan sesuai.
APO07.02
R R ARRRRRR
Identifikasi personel kunci TI.
APO07.03
Rencanakan,
Sejajarkan,
Atur
dan
Menjaga keterampilan R R ARRRRRR

dan kompetensi personel.
APO07.04
%VALUATEEMPLOYEEJOB R R ARRRRRR
pertunjukan.
APO07.05
Merencanakan dan melacak RCARR saya RRRRRRRR
penggunaan TI dan sumber daya manusia bisnis.
APO07.06
R R ARRRRRR
Mengelola staf kontrak.
Praktek Manajemen Keluaran
APO07.01 Mempertahankan staf Dari Masukan Deskripsi Keterangan Ke

yang memadai dan sesuai.
EDM04.01 s!PPROVEDRESOURCESPLAN Evaluasi kebutuhan Intern
Mengevaluasi kebutuhan staf secara teratur atau
PRINSIP UNTUK staf
UPONMAJORCHANGESTOTHEENTERPRISEOROPERATIONAL
alokasi sumber daya
atau lingkungan TI untuk memastikan bahwa
dan kemampuan
perusahaan memiliki sumber daya manusia yang
cukup untuk mendukung tujuan perusahaan EDM04.03 Tindakan perbaikan untuk Kompetensi dan rencana Intern
sumber daya eksternal. mengatasi penyimpangan pengembangan karir
pengelolaan sumber daya
APO01.02 Definisi praktik Rencana pengadaan personel Intern

pengawasan
Di luar COBIT s%NTERPRISEGOALSAND

TUJUAN
s%NTERPRISE(2POLIS
dan prosedur
Kegiatan
%VALUATESTAFFINGPERSYARATANSONAREGULERBASISORUPONMAJORCHINGSTOPASTIKAN
BAHWA s)4FUNGSI MEMILIKI SUMBER YANG CUKUP DAN TEPAT MENDUKUNG ENTERPRISEGOALSANDOBJEKTIF
s%NTERPRISETELAH CUKUP SUMBER DAYACUKUP DAN TEPAT MENDUKUNGPROSES BISNISDAN KONTROL DAN)4 AKTIFKAN DINITIATIF
-PENGELOLAAN BISNISDAN)4PERSONELPEREKRUTANDAN RETENSIPROSESINLINEDENGAN KEBIJAKAN DAN PROSEDUR PRISE SPERSONAL ENTERPRISE
3. Menyertakan pemeriksaan latar belakang dalam proses rekrutmen TI untuk karyawan, kontraktor, dan vendor. Luas dan frekuensi pemeriksaan ini harus
KETERGANTUNGAN SENSITIVITAS DAN ORKRITISITAS FUNGSI
4. Menetapkan pengaturan sumber daya yang fleksibel untuk mendukung perubahan kebutuhan bisnis, seperti penggunaan transfer, kontraktor eksternal, dan pihak ketiga
pengaturan layanan.
5. Pastikan bahwa pelatihan silang berlangsung dan ada cadangan untuk staf kunci untuk mengurangi ketergantungan satu orang.

BAB 5
APO07.02 Identifikasi personel kunci TI. Dari Keterangan Keterangan Ke
Mengidentifikasi personel TI utama sambil meminimalkan

ketergantungan pada FUNGSI KERJA AKRITIK ASINGLEINDIVIDUAL
melalui penangkapan pengetahuan (dokumentasi), berbagi pengetahuan,
perencanaan suksesi dan cadangan staf.
Kegiatan
-INIMISERELIANCEONASINGLEINDIVIDUALPERFORMINGFUNGSI AKRITIS MELALUI DOKUMENTASI TANGKAP PENGETAHUANBERBAGI PENGETAHUANSUKSES

PERENCANAANSTAF CADANGAN LINTAS PELATIHAN DAN PELATIHAN PEKERJAAN
2. Sebagai tindakan pencegahan keamanan, berikan pedoman tentang waktu minimum liburan tahunan yang harus diambil oleh individu-individu kunci.
4AKEEXPEDIENTAKSI MENGENAI PERUBAHAN PEKERJAANKHUSUSNYA TERMINASI KERJA
4. Secara teratur menguji rencana cadangan staf.
APO07.03 Menjaga keterampilan dan kompetensi personel. Dari Keterangan Keterangan Ke
EDM01.02 Pendekatan sistem penghargaan Keterampilan dan kompetensi APO01.02

Mendefinisikan dan mengelola keterampilan dan kompetensi
matriks BAI01.02
yang dibutuhkan personel. Verifikasi secara teratur bahwa personel
BAI01.04
memiliki kompetensi untuk memenuhi peran mereka berdasarkan
PELATIHAN DAN PENGALAMAN PENDIDIKAN DAN PENGALAMAN EDM04.03 Tindakan perbaikan untuk Rencana pengembangan keterampilan EDM04.01
memverifikasi bahwa kompetensi ini dipertahankan, menggunakan mengatasi penyimpangan APO01.02
program kualifikasi dan sertifikasi jika sesuai. Memberi karyawan pengelolaan sumber daya
pembelajaran berkelanjutan dan peluang untuk mempertahankan
BAI08.03 Repositori pengetahuan Tinjau laporan Intern
pengetahuan, keterampilan, dan kompetensi mereka pada tingkat yang
yang diterbitkan
diperlukan untuk mencapai tujuan perusahaan.
BAI08.04 Kesadaran pengetahuan dan
skema pelatihan
DSS04.06 s-ONITORINGHASILSOF
keterampilan dan kompetensi
PERSYARATAN s4RAINING
Di luar sasaran COBIT Enterprise

DAN TUJUAN
Kegiatan
1. Menentukan keterampilan dan kompetensi yang dibutuhkan dan tersedia saat ini dari sumber daya internal dan eksternal untuk mencapai tujuan perusahaan, TI, dan proses.
2. Menyediakan perencanaan karir formal dan pengembangan profesional untuk mendorong pengembangan kompetensi, kesempatan untuk kemajuan pribadi dan
mengurangi ketergantungan pada individu kunci.
3. Menyediakan akses ke gudang pengetahuan untuk mendukung pengembangan keterampilan dan kompetensi.
4. Identifikasi kesenjangan antara keterampilan yang dibutuhkan dan yang tersedia dan kembangkan rencana aksi untuk mengatasinya secara individu dan kolektif, seperti pelatihan (keterampilan
teknis dan perilaku), rekrutmen, penempatan kembali, dan strategi sumber yang diubah.
5. Mengembangkan dan menyampaikan program pelatihan berdasarkan persyaratan organisasi dan proses, termasuk persyaratan untuk pengetahuan perusahaan, pengendalian internal,
perilaku etis, dan keamanan.
6. Melakukan review secara berkala untuk menilai evolusi keterampilan dan kompetensi sumber daya internal dan eksternal. Tinjau perencanaan suksesi.
7. Meninjau materi dan program pelatihan secara teratur untuk memastikan kecukupan sehubungan dengan perubahan persyaratan perusahaan dan dampaknya
pada pengetahuan, keterampilan dan kemampuan yang diperlukan.

APO07.04 Mengevaluasi kinerja pekerjaan karyawan. Dari Keterangan Keterangan Ke

Lakukan evaluasi kinerja tepat waktu secara teratur DASARKAN
EDM01.02 Pendekatan sistem penghargaan Sasaran personel Intern
TUJUAN INDIVIDU TURUNAN DARI
TUJUAN ENTERPRISE DIDIRIKANSTANDARSSPECIFIC APO04.01 Program pengakuan Evaluasi kinerja Intern
TANGGUNG JAWAB DAN KETERAMPILAN DAN KOMPETENSI dan penghargaan
kerangka. Karyawan harus menerima pembinaan tentang
BAI05.04 Kinerja SDM yang selaras Rencana peningkatan Intern
kinerja dan perilaku bila diperlukan.
TUJUAN
BAI05.06 Hasil tinjauan kinerja

SDM
DSS06.03 Hak akses yang dialokasikan
Di luar sasaran COBIT Enterprise

DAN TUJUAN
Kegiatan
#ONSIDERFUNCTIONAL ENTERPRISEGOALSASTHECONTEXTFORSETTINGINDIVIDUALGOALS
2. Tetapkan tujuan individu yang selaras dengan tujuan proses yang relevan sehingga ada kontribusi yang jelas untuk tujuan TI dan perusahaan. Dasarkan sasaran pada OBJECTIVES
CERDAS KHUSUS TERUKURDAPAT DICAPAIRELEVANTDAN TERIKAT WAKTUREFLEKTIKOREKOMPETENSIENTERPRISEVALUEDANSKILLSDIPERLUKAN
untuk peran.
3. Menyusun hasil evaluasi kinerja 360 derajat.
4. Menerapkan dan mengkomunikasikan proses pendisiplinan.
5. Memberikan instruksi khusus untuk penggunaan dan penyimpanan informasi pribadi dalam proses evaluasi, sesuai dengan data pribadi yang berlaku
dan undang-undang ketenagakerjaan.
0ROVIDETIMELYFEEDBACK TENTANG KINERJA TERHADAP TUJUAN INDIVIDU
)PLEMENTAREMUNERATION RECOGNITIONPROCESSPENGENALAN KOMITMEN KOMPETENSI YANG TEPAT DAN KEBERHASILAN

tujuan kinerja. Memastikan bahwa proses diterapkan secara konsisten dan sejalan dengan kebijakan organisasi.
8. Mengembangkan rencana peningkatan kinerja berdasarkan hasil proses evaluasi dan mengidentifikasi persyaratan pelatihan dan pengembangan keterampilan.
APO07.05 Merencanakan dan melacak penggunaan TI Dari Keterangan Keterangan Ke

dan sumber daya manusia bisnis.
EDM04.02 Komunikasi strategi Inventarisasi bisnis dan BAI01.04
Memahami dan melacak permintaan saat ini dan masa depan untuk
sumber daya sumber daya manusia TI
bisnis dan sumber daya manusia TI dengan tanggung jawab untuk TI
perusahaan. Identifikasi kekurangan dan berikan masukan ke dalam EDM04.03 Umpan balik tentang alokasi Analisis kekurangan BAI01.06
rencana pengadaan, rencana pengadaan proses perekrutan dan efektivitas sumber daya sumber daya
perusahaan dan TI, serta proses perekrutan bisnis dan TI. dan kemampuan
APO06.02 Alokasi anggaran Catatan pemanfaatan BAI01.06

sumber daya
BAI01.04 Persyaratan dan peran
sumber daya
BAI01.12 0ROJECTRESOURCE
persyaratan
Perusahaan Organisasi saat ini dan

masa depan portofolio
Di luar struktur organisasi COBIT Enterprise
Kegiatan
1. Membuat dan memelihara inventaris sumber daya manusia bisnis dan TI.
5PEMILIH SAAT INI DAN MASA DEPAN PERMINTAAN SUMBER DAYA MANUSIA DUKUNGAN PRESTASI)4 TUJUAN SANDI LAYANAN LAYANAN DAN SOLUSI
berdasarkan portofolio inisiatif terkait TI saat ini, portofolio investasi masa depan, dan kebutuhan operasional sehari-hari.
3. Mengidentifikasi kekurangan dan memberikan masukan ke dalam rencana pengadaan serta proses perekrutan perusahaan dan TI. Membuat dan meninjau rencana kepegawaian,
melacak penggunaan yang sebenarnya.
-PERHATIKAN INFORMASI YANG MEMADAI WAKTU DIGUNAKAN PADA BERBEDA TUGAS TUGAS LAYANANOR PROYEK

BAB 5
APO07.06 Mengelola staf kontrak. Dari Keterangan Keterangan Ke

Pastikan bahwa konsultan dan personel kontrak yang mendukung
BAI01.04 Persyaratan dan peran Kebijakan staf kontrak Intern
perusahaan dengan keterampilan TI mengetahui dan mematuhi
sumber daya
KEBIJAKAN ORGANISASI DAN PERJANJIAN
persyaratan kontrak. BAI01.12 0ROJECTRESOURCE Perjanjian kontrak Intern
persyaratan
BAI01.14 Komunikasi pensiun Tinjauan perjanjian Intern

program dan akuntabilitas kontrak
berkelanjutan
Kegiatan
) MELAKSANAKAN KEBIJAKAN DAN PROSEDUR YANG MENJELASKAN BAGAIMANA JENIS PEKERJAAN YANG DAPAT DILAKUKANOR DIPERBAIKI OLEH KONSULTAN DAN ATAU
KONTRAKTORSINSESUATU DENGAN SENTERPRISE ORGANISASI SELURUH )4 KEBIJAKAN PENGADAANDAN )4 KERANGKA KONTROL /
BTAINFORMALAPERJANJIAN DARI KONTRAKTORSATPEMULAINYA KONTRAK YANG DIBUTUHKAN UNTUK MEMATUHI ENTERPRISE S )4CONTROL
kerangka kerja, seperti kebijakan untuk izin keamanan, kontrol akses fisik dan logis, penggunaan fasilitas, persyaratan kerahasiaan informasi, dan perjanjian kerahasiaan.
3. Memberi tahu kontraktor bahwa manajemen berhak untuk memantau dan memeriksa semua penggunaan sumber daya TI, termasuk email, komunikasi suara, dan
semua program dan file data.
4. Memberikan definisi yang jelas kepada kontraktor tentang peran dan tanggung jawab mereka sebagai bagian dari kontrak mereka, termasuk persyaratan eksplisit untuk mendokumentasikan
bekerja dengan standar dan format yang disepakati.
2TINJAUAN PEKERJAAN KONTRAKTORDANBASETPERSETUJUANPEMBAYARAN HASILNYA
6. Tentukan semua pekerjaan yang dilakukan oleh pihak eksternal dalam kontrak formal dan tidak ambigu.
7. Melakukan tinjauan berkala untuk memastikan bahwa staf kontrak telah menandatangani dan menyetujui semua perjanjian yang diperlukan.
#ONDUCTPERIODICREVIEWSTOENSURETHEPERAN KONTRAKTOR DANAKSES HAKHARETEPAT DANINLINEWITHAGREEMENTS
)3/ )%# 8. Keamanan Sumber Daya Manusia
SFIA Referensi keterampilan


BAB 5
Area: Manajemen
APO08 Kelola Hubungan Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Kelola hubungan antara bisnis dan TI dengan cara yang formal dan transparan yang memastikan fokus pada pencapaian tujuan bersama dan bersama dari hasil perusahaan yang sukses dalam
mendukung tujuan strategis dan dalam batasan anggaran dan toleransi risiko. Mendasarkan hubungan pada rasa saling percaya, menggunakan istilah yang terbuka dan dapat dimengerti serta
bahasa yang sama dan kesediaan untuk mengambil kepemilikan dan akuntabilitas atas keputusan-keputusan penting.

Ciptakan hasil yang lebih baik, peningkatan kepercayaan diri, kepercayaan pada TI, dan penggunaan sumber daya yang efektif.

program dan layanan


12 Pemberdayaan dan dukungan proses bisnis dengan mengintegrasikan aplikasi s.UMBEROFBUSINESSPROCESSINGINSIDENTSDISEBUT BYTECHNOLOGY
dan teknologi ke dalam proses bisnis kesalahan integrasi
s.UMBEROFBUSINESSPROCESSCHANGESTHATNEEDTOBEDELAYEDOR
dikerjakan ulang karena masalah integrasi teknologi
s.UMBEROF)4 AKTIFKANPROGRAM BISNISDELAYEDORINCURRING
biaya tambahan karena masalah integrasi teknologi
s.UMBEROFAPLIKASIORKRITISALINFRASTRUKTUROPERASIINSILOSAND
tidak terintegrasi

kemungkinan inovasi
dan ide-ide
1. Strategi, rencana, dan persyaratan bisnis dipahami dengan baik, didokumentasikan, s0ERCENTOFALIGNMENTOF)4LAYANANWITHENTERPRISE
dan disetujui. persyaratan bisnis
2. Hubungan yang baik terjalin antara perusahaan dan TI. s2ATINGSOFUSERAND)4PERSONELSURVEI KEPUASAN
3. Pemangku kepentingan bisnis menyadari peluang yang dimungkinkan oleh teknologi. s3URVEYOFBUSINESSSTAKEHOLDERTECHNOLOGYLEVELOFAWARENESS
s)RASIO KELULUSANPeluangPeluang dalam INVESTASI PROPOSAL

Bagan RACI APO08
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO08.01
Memahami ekspektasi CCCCRC C C CCACRRCRRR
bisnis.
APO08.02
Identifikasi peluang, risiko, dan Dalam RR
Saya Saya C Saya CCARRR R
kendala TI untuk meningkatkan
Rencanakan,
Sejajarkan,
Atur
dan
bisnis.
APO08.03
Mengelola hubungan CCCRR Saya A RR R
bisnis.
APO08.04
RI RRR I A RR R
Berkoordinasi dan berkomunikasi.
APO08.05
Memberikan masukan untuk perbaikan C saya CR saya C CCACRR RCC

layanan secara berkesinambungan.
APO08.01 Memahami ekspektasi bisnis. Dari Keterangan Keterangan Ke

5PAHAMIMASALAH BISNIS SAAT INI DAN TUJUAN PASAL
APO02.05 Peta jalan strategis Ekspektasi bisnis yang Intern
harapan bisnis untuk TI. Pastikan bahwa persyaratan
diklarifikasi dan disepakati
dipahami, dikelola dan dikomunikasikan, dan statusnya
disetujui dan disetujui.
Kegiatan
1. Identifikasi pemangku kepentingan bisnis, kepentingan mereka dan bidang tanggung jawab mereka.
2EVIEWCURRENTENTERPRISEDIRECTIONISUSTRATEGIKOBJEKTIFSANDALIGNMENTDENTERPRISEARCHITECTURE
3. Menjaga kesadaran akan proses bisnis dan aktivitas terkait serta memahami pola permintaan yang terkait dengan volume dan penggunaan layanan.
4. Memperjelas ekspektasi bisnis untuk layanan dan solusi yang mendukung TI dan memastikan bahwa persyaratan ditentukan dengan penerimaan bisnis terkait
kriteria dan metrik.
5. Konfirmasi persetujuan ekspektasi bisnis, kriteria penerimaan, dan metrik ke bagian TI yang relevan oleh semua pemangku kepentingan.
6. Kelola ekspektasi dengan memastikan bahwa unit bisnis memahami prioritas, ketergantungan, kendala keuangan, dan kebutuhan untuk menjadwalkan permintaan.
5PEMILIH SAAT INIBISNIS LINGKUNGAN PROSESKENDALASORMASILAHGEOGRAFISEKPANSIONORKONTRAKSI DAN PENGEMBAL INDUSTRI PENDORONG

BAB 5
APO08.02 Identifikasi peluang, risiko, dan kendala TI untuk Dari Keterangan Keterangan Ke
meningkatkan bisnis.
APO09.01 Kesenjangan yang Langkah dan rencana aksi selanjutnya Intern
Identifikasi peluang potensial bagi TI untuk menjadi pendorong
teridentifikasi dalam layanan TI untuk bisnisyang disepakati
peningkatan kinerja perusahaan.
APO09.04 s)MPROVEMENTAKSI
rencana dan perbaikan
s3ERVICELEVEL
laporan kinerja
APO11.0 Akar penyebab kegagalan

pengiriman kualitas
Kegiatan
1. Memahami tren teknologi dan teknologi baru dan bagaimana ini dapat diterapkan secara inovatif untuk meningkatkan kinerja proses bisnis.
2. Berperan proaktif dalam mengidentifikasi dan berkomunikasi dengan pemangku kepentingan utama tentang peluang, risiko, dan kendala. Ini termasuk saat ini dan yang muncul
teknologi, layanan dan model proses bisnis.
#OLLABORATEINAGREEINGONNEXTLANGKAHFORMAJORNEWINITIATIVEOPERASISINCODENGANPORTFOLIOMANAGEMENTTERMASUKBUSINESSCASEDEVELOPMENT
%NSURETHEBUSINESSDAND)4PAHAMIDANDAPRECIATETHESTRATEGICOBJECTIVESANDENTERPRISEARCHITECTUREVISI
5. Berkoordinasi saat merencanakan inisiatif TI baru untuk memastikan integrasi dan keselarasan dengan arsitektur perusahaan.
APO08.03 Mengelola hubungan bisnis. Dari Keterangan Keterangan Ke

Mengelola hubungan dengan pelanggan (perwakilan bisnis).
DSS02.02 Insiden dan permintaan layanan Keputusan kunci yang disepakati Intern
Pastikan bahwa peran dan tanggung jawab hubungan
yang diklasifikasikan dan
ditentukan dan ditetapkan, dan komunikasi difasilitasi.
diprioritaskan
DSS02.06 s5SERCONFIRMATIONOF Status keluhan dan eskalasi Intern

pemenuhan atau resolusi
yang memuaskan
s#PERMINTAAN LAYANAN HILANG

dan insiden
DSS02.07 s2EQUESTFULFILMENTSTATUS
dan laporan tren
s)NCIDENTSTATUSAND
laporan tren
Kegiatan
1. Tetapkan seorang manajer hubungan sebagai satu titik kontak untuk setiap unit bisnis yang signifikan. Pastikan bahwa rekanan tunggal diidentifikasi dalam organisasi bisnis dan
rekanan tersebut memiliki pemahaman bisnis, kesadaran teknologi yang memadai, dan tingkat otoritas yang sesuai.
2. Kelola hubungan dengan cara yang formal dan transparan yang memastikan fokus pada pencapaian tujuan bersama dan bersama dari perusahaan yang sukses
hasil dalam mendukung tujuan strategis dan dalam batasan anggaran dan toleransi risiko.
3. Tetapkan dan komunikasikan prosedur keluhan dan eskalasi untuk menyelesaikan masalah hubungan apa pun.
0LANSPECIFICINTERAKSIDAN JADWAL BERDASARKAN SAMA SETUJU TUJUAN DAN LAYANAN BAHASA UMUM DAN KINERJATINJAUAN RAPAT Tinjauan strategi atau
rencana baru, dll).
5. Memastikan bahwa keputusan kunci disetujui dan disetujui oleh pemangku kepentingan terkait yang bertanggung jawab.

APO08.04 Berkoordinasi dan berkomunikasi. Dari Keterangan Keterangan Ke

Bekerja dengan pemangku kepentingan dan
APO09.03 SLA Rencana komunikasi Intern
mengoordinasikan pengiriman layanan TI dan solusi ujung
ke ujung yang disediakan untuk bisnis. APO12.06 Komunikasi Paket komunikasi Internal
dampak risiko
BAI05.05 Rencana operasi dan penggunaan Tanggapan pelanggan Intern
BAI07.07 Rencana dukungan tambahan
BAI09.02 Komunikasi waktu henti

pemeliharaan yang
direncanakan
DSS03.04 Komunikasi
pengetahuan yang dipelajari
Kegiatan
#O ORDINASI DAN KOMUNIKASI PERUBAHAN DAN KEGIATAN TRANSISI SEPERTI PERUBAHAN PROYEKTOR JADWAL RELEASE KEBIJAKAN RELEASEKNOWNERRORSdan
kesadaran pelatihan.
#O ORDINASI DAN KOMUNIKASI KEGIATAN OPERASIONALPERAN DAN TANGGUNG JAWAB TERMASUKDEFINISIFREQUESTTYPESHIERARCHICALESCALATIONMAJOR

pemadaman (direncanakan dan tidak direncanakan), dan isi dan frekuensi laporan layanan.
4AKEOWNERSHIPOFHERESPONSETTOFORMASI BISNISAJOREVENTSTITUMUNGKIN MEMPENGARUHIHUBUNGANTERHUBUNGAN DENGAN BISNIS 0ROVIDEDIRECTDUKUNGAN

jika diperlukan.
4. Memelihara rencana komunikasi ujung ke ujung yang mendefinisikan konten, frekuensi, dan penerima informasi penyampaian layanan, termasuk status
nilai yang disampaikan dan setiap risiko yang teridentifikasi.
APO08.05 Memberikan masukan untuk perbaikan Dari Keterangan Keterangan Ke

layanan secara berkesinambungan.
APO09.02 Katalog layanan Analisis kepuasan APO09.04
Terus tingkatkan dan kembangkan layanan yang mendukung TI dan
penyampaian layanan ke perusahaan agar selaras dengan perubahan APO11.03 s2ESULTSOFQUALITYOF Definisi potensi AP02.02
kebutuhan perusahaan dan teknologi. layanan, termasuk PROYEK PENINGKATAN BAI03.11
umpan balik pelanggan
s#PERSYARATAN PELANGGAN
untuk manajemen kualitas
APO11.04 Hasil tinjauan dan audit kualitas
APO11.0 Hasil pemantauan kualitas

solusi dan penyampaian
layanan
BAI03.10 Rencana pemeliharaan
BAI05.05 Ukuran dan hasil

keberhasilan
BAI07.07 Rencana dukungan tambahan
Kegiatan
1. Melakukan analisis kepuasan pelanggan dan penyedia. Pastikan bahwa masalah ditindaklanjuti dan laporkan hasil dan status.
2. Bekerja sama untuk mengidentifikasi, mengomunikasikan, dan mengimplementasikan inisiatif perbaikan.
3. Bekerja dengan manajemen layanan dan pemilik proses untuk memastikan bahwa layanan yang mendukung TI dan proses manajemen layanan terus ditingkatkan
dan akar penyebab dari setiap masalah diidentifikasi dan diselesaikan.
)3/ )%# 7.2 Manajemen hubungan bisnis
)4),6 2. Manajemen Permintaan

BAB 5
Area: Manajemen
APO09 Kelola Perjanjian Layanan Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Menyelaraskan layanan dan tingkat layanan yang mendukung TI dengan kebutuhan dan harapan perusahaan, termasuk identifikasi, spesifikasi, desain, penerbitan, perjanjian, dan
pemantauan layanan TI, tingkat layanan, dan indikator kinerja.

Pastikan bahwa layanan TI dan tingkat layanan memenuhi kebutuhan perusahaan saat ini dan masa depan.
Rencanakan
Sejajarkan,
Atur
dan 07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis

s.UMBEROFBUSINESSGANGGUANSDUETO)4SERVICEINSIDENT
s,KEMBANGKAN BISNIS KEPUASAN PENGGUNA DENGAN KUALITAS DAN KETEPATAN WAKTU
(atau ketersediaan) informasi manajemen

s.UMBEROFBUSINESSPROCESSINSIDENDISEBUTKAN OLEH TANPA KETERSEDIAAN
informasi
s2ASIOANDEXTENTOFERRONEOUSBUSINESSKeputusanWHEREERRONEOUSOR
informasi yang tidak tersedia adalah faktor kunci
1. Perusahaan dapat secara efektif memanfaatkan layanan TI seperti yang didefinisikan s.UMBEROFBUSINESSPROSES DENGAN PERJANJIAN LAYANAN YANG DITENTUKAN
dalam katalog.
2. Perjanjian layanan mencerminkan kebutuhan perusahaan dan kemampuan TI. s0ERCENTOFLIVE)4LAYANAN DILAKUKAN OLEH PERJANJIAN LAYANAN
s0ERCENTOFCPELANGGANPUASBAHWALAYANANDELIVERYMEETS
tingkat yang disepakati
3. Layanan TI melakukan sebagaimana diatur dalam perjanjian layanan. s.UMBERDAN KERUSAKAN PELANGGARAN LAYANAN
s0ERCENTOSERVICESBEINGMONITOREDTOSERVICELEVELS
s0ERCENTOFSERVICETARGETSBEINGMET
Bagan RACI APO09
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO09.01
C RRRC I Saya IRI CCCA I Saya
Mengidentifikasi layanan TI.
APO09.02
Saya Saya Saya Saya IRI CCCA I Saya
Katalog layanan yang mendukung TI.
APO09.03
Menentukan dan menyiapkan RC C C CCR CRRACC
perjanjian layanan.
APO09.04
Memantau dan melaporkan Saya SAYA DAN C Saya Saya saya ITU
tingkat layanan.
APO09.05
Meninjau perjanjian dan kontrak AC C C CCR CRRRCC I
layanan.

APO09.01 Mengidentifikasi layanan TI. Dari Keterangan Keterangan Ke

Menganalisis kebutuhan bisnis dan cara layanan dan tingkat
Kesenjangan yang AP02.02
layanan yang mendukung TI mendukung proses bisnis. Diskusikan
teridentifikasi dalam layanan TI untuk bisnisAPO05.03
dan setujui layanan potensial dan tingkat layanan dengan bisnis, dan
APO08.02
bandingkan dengan portofolio layanan saat ini untuk mengidentifikasi
layanan baru atau yang diubah atau opsi tingkat layanan. Definisi layanan standar APO05.01
Kegiatan
1. Menilai layanan dan tingkat layanan TI saat ini untuk mengidentifikasi kesenjangan antara layanan yang ada dan aktivitas bisnis yang didukungnya. Identifikasi area untuk
peningkatan layanan yang ada dan opsi tingkat layanan.
2. Menganalisis, mempelajari, dan memperkirakan permintaan di masa mendatang dan mengonfirmasi kapasitas layanan berkemampuan TI yang ada.
3. Menganalisis aktivitas proses bisnis untuk mengidentifikasi kebutuhan layanan TI baru atau yang didesain ulang.
4. Bandingkan persyaratan yang teridentifikasi dengan komponen layanan yang ada dalam portofolio. Jika memungkinkan, paketkan komponen layanan yang ada (layanan TI, layanan
pilihan tingkat dan paket layanan) ke dalam paket layanan baru untuk memenuhi kebutuhan bisnis yang teridentifikasi.
5. Jika memungkinkan, sesuaikan permintaan dengan paket layanan dan ciptakan layanan standar untuk mendapatkan efisiensi secara keseluruhan.
6. Secara teratur meninjau portofolio layanan TI dengan manajemen portofolio dan manajemen hubungan bisnis untuk mengidentifikasi layanan usang. Setuju
pensiun dan mengusulkan perubahan.
APO09.02 Katalog layanan yang mendukung TI. Dari Keterangan Keterangan Ke

Tetapkan dan pertahankan satu atau lebih katalog layanan untuk
EDM04.01 Rencana sumber daya yang disetujui Katalog layanan APO08.05
kelompok sasaran yang relevan. Publikasikan dan pertahankan
layanan aktif TI di katalog layanan. EDM04.02 Komunikasi strategi
sumber daya
APO05.05 Portofolio program,

layanan, dan aset yang
diperbarui
Kegiatan
1. Publikasikan dalam katalog layanan langsung yang mendukung TI, paket layanan, dan opsi tingkat layanan dari portofolio.
2. Secara terus menerus memastikan bahwa komponen layanan dalam portofolio dan katalog layanan terkait sudah lengkap dan up to date.
3. Menginformasikan manajemen hubungan bisnis tentang setiap pembaruan pada katalog layanan.
APO09.03 Menentukan dan menyiapkan perjanjian layanan. Dari Keterangan Keterangan Ke

Tetapkan dan siapkan perjanjian layanan berdasarkan opsi
APO11.03 Persyaratan pelanggan untuk SLA APO05.03
dalam katalog layanan. Sertakan perjanjian operasional internal.
manajemen kualitas APO08.04
DSS01.02
DSS02.01
DSS02.02
DSS04.01
DSS05.02
DSS05.03
Perjanjian tingkat DSS01.02

operasional (OLA) DSS02.07
DSS04.03
DSS05.03
Kegiatan
1. Menganalisis persyaratan untuk perjanjian layanan baru atau yang diubah yang diterima dari manajemen hubungan bisnis untuk memastikan bahwa persyaratan dapat dicocokkan.
Pertimbangkan aspek-aspek seperti waktu layanan, ketersediaan, kinerja, kapasitas, keamanan, kontinuitas, kepatuhan dan masalah peraturan, kegunaan, dan kendala permintaan.
2. Menyusun perjanjian layanan pelanggan berdasarkan layanan, paket layanan, dan opsi tingkat layanan dalam katalog layanan terkait.
3. Menentukan, menyepakati, dan mendokumentasikan perjanjian operasional internal untuk mendukung perjanjian layanan pelanggan, jika berlaku.
4. Bekerja sama dengan manajemen pemasok untuk memastikan bahwa kontrak komersial yang sesuai dengan penyedia layanan eksternal mendukung layanan pelanggan
perjanjian, jika berlaku.
5. Menyelesaikan perjanjian layanan pelanggan dengan manajemen hubungan bisnis.

BAB 5
APO09.04 Memantau dan melaporkan tingkat layanan. Dari Keterangan Keterangan Ke

Pantau tingkat layanan, laporkan pencapaian, dan identifikasi
EDM04.03 Tindakan perbaikan untuk Laporan kinerja APO08.02
tren. Memberikan informasi manajemen yang tepat untuk
mengatasi penyimpangan tingkat layanan MEA01.03
membantu manajemen kinerja.
pengelolaan sumber daya
APO05.04 Laporan kinerja portofolio Rencana tindakan perbaikan AP02.02

investasi dan remediasi APO08.02
APO05.06 s#TINDAKAN KOREKTIF
untuk meningkatkan
realisasi manfaat
s"ENEFITRESULTSAND
komunikasi terkait
APO08.05 Analisis kepuasan
APO11.0 s2OOTCAUSESOFQUALITY
kegagalan pengiriman
s2ESULTSOLUSI
dan pemantauan kualitas
pemberian layanan
DSS02.02 Insiden dan permintaan layanan

diprioritaskan
DSS02.06 Permintaan dan insiden

layanan tertutup
dan laporan tren
s)NCIDENTSTATUSAND
laporan tren
Kegiatan
1. Menetapkan dan memelihara langkah-langkah untuk memantau dan mengumpulkan data tingkat layanan.
2. Mengevaluasi kinerja dan memberikan pelaporan kinerja perjanjian layanan secara teratur dan formal, termasuk penyimpangan dari nilai-nilai yang disepakati.
Distribusikan laporan ini ke manajemen hubungan bisnis.
3. Lakukan tinjauan rutin untuk memperkirakan dan mengidentifikasi tren kinerja tingkat layanan.
4. Memberikan informasi manajemen yang tepat untuk membantu manajemen kinerja.
5. Menyetujui rencana aksi dan perbaikan untuk setiap masalah kinerja atau tren negatif.
Praktik Manajemen Masukan Keluaran
APO09.05 Meninjau perjanjian dan kontrak Dari Keterangan Keterangan Ke

layanan.
EDM04.03 Umpan balik tentang alokasi SLA yang diperbarui Intern
Melakukan tinjauan berkala terhadap perjanjian layanan dan
dan efektivitas sumber daya
merevisi bila diperlukan.
dan kemampuan
APO11.03 Hasil kualitas layanan,

termasuk umpan balik
pelanggan
BAI04.01 Evaluasi terhadap SLA
Kegiatan
1. Secara teratur meninjau perjanjian layanan sesuai dengan persyaratan yang disepakati untuk memastikan bahwa perjanjian tersebut efektif dan terkini serta perubahan persyaratan,
Layanan berkemampuan TI, paket layanan, atau opsi tingkat layanan diperhitungkan, jika perlu.

)3/ )%# s
s
3 MANAJEMEN LEVICELEVEL
)4),6 s $MAND-ANAGEMENT
s 3ERVICE0ORTFOLIO-ANAGEMENT
s 3ERVICE#ATALOGUE-ANAGEMENT
s 3ERVICE,EVEL-ANAGEMENT
s
3ERVICE2EPORTING

BAB 5
Area: Manajemen
APO10 Kelola Pemasok Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi Proses Kelola

layanan terkait TI yang disediakan oleh semua jenis pemasok untuk memenuhi persyaratan perusahaan, termasuk pemilihan pemasok, pengelolaan
hubungan, pengelolaan kontrak, serta peninjauan dan pemantauan kinerja pemasok untuk efektivitas dan kepatuhan.

Meminimalkan risiko yang terkait dengan pemasok yang tidak berkinerja baik dan memastikan harga yang kompetitif.
Rencanakan
Sejajarkan,
Atur
dan Tujuan terkait TI

Metrik Terkait
s0ERCENTOFCRITICALBUSINESSPROCESSES)4SERVICESAND)4
MENGAKTIFKAN program bisnis yang dicakup oleh penilaian risiko
s.UMBEROFSIGNIFICANT)4 RELATEDINCIDENTSEHATWERENOTIDENTIFIEDIN
penilaian risiko
s0ERCENTOFENTERPRISERISKASSESSMENTSINCLUDING)4
RELATEDRISK s&REQUENCYOFUPDATEOFRISKPROFILE
07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis s.UMBEROFBUSINESSDISRUPTIONSDUETO)4SERVICEINCIDENTS

s0ERCENTOFBUSINESSSTAKEHOLDERSSATISFIEDTHAT)4SERVICEDELIVERYMEETS
agreed-on service levels
s0ERCENTOFUSERSSATISFIEDWITHTHEQUALITYOF)4SERVICEDELIVERY
09 kelincahan TI s,EVELOFSATISFACTIONOFBUSINESSEXECUTIVESWITH)4 SRESPONSIVENESSTO

new requirements s.UMBEROFCRITICALBUSINESSPROCESSESSUPPORTEDBYUP
TO DATE infrastructure and applications s!
VERAGETIMETOTURNSTRATEGIC)4OBJECTIVESINTOANAGREED ONAND
approved initiative
1. Pemasok melakukan sesuai kesepakatan. s0ERCENTOFSUPPLIERSMEETINGPERSYARATAN YANG DISETUJUI

s.UMBEROFSERVICEBREACHESTO)4 LAYANAN TERKAIT YANG DISEBABKAN OLEH PEMASOK
2. Risiko pemasok dinilai dan ditangani dengan benar. s.PERISTIWA TERKAIT UMBEROFRISK MEMIMPIN KEINSIDEN LAYANAN
s&REQUENCYOFRISKMANAGEMENTSESSIONSWITHSUPPLIER
s0ERCENTOFRISK RELATEDINSIDENTSRESOLVEDIKTI WAKTU DAN BIAYA YANG DAPAT DITERIMA
3. Hubungan pemasok bekerja secara efektif. s.UMBEROFSUPPLIERREVIEWPERTEMUAN

s.UMBEROFFORMALDISPUTESDENGAN PEMASOK
s0ERCENTOFDISPUTESRESOLVEDAMICABLYINAREASONABLETIMEFRAME
Bagan RACI APO10
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO10.01
Mengidentifikasi dan mengevaluasi C C CCCACCCCRCCC
hubungan dan kontrak pemasok.
APO10.02
C C CCCACCCCRCCC
Pilih pemasok.
APO10.03
Mengelola hubungan dan Saya CCCACRRRCCC
kontrak pemasok.
APO10.04
C R CCCACRR CCCC
Mengelola risiko pemasok.
APO10.05
Memantau kinerja dan Saya C C CCCACRR CCCC
kepatuhan pemasok.

Praktik Proses APO10, Input/Output dan Aktivitas
APO10.01 Mengidentifikasi dan mengevaluasi Dari Keterangan Keterangan Ke

hubungan dan kontrak pemasok.
Di luar kontrak Pemasok COBIT Signifikansi pemasok dan Intern
Identifikasi pemasok dan kontrak terkait dan kategorikan
kriteria evaluasi
mereka ke dalam jenis, signifikansi, dan kekritisan.
Menetapkan kriteria evaluasi pemasok dan kontrak dan Katalog pemasok BAI02.02
mengevaluasi keseluruhan portofolio pemasok dan kontrak yang
Potensi revisi kontrak Intern
ada dan alternatif.
pemasok
Kegiatan
1. Tetapkan dan pertahankan kriteria yang berkaitan dengan jenis, signifikansi, dan kekritisan pemasok dan kontrak pemasok, memungkinkan fokus pada pilihan dan
pemasok penting.
2. Menetapkan dan memelihara kriteria evaluasi pemasok dan kontrak untuk memungkinkan tinjauan keseluruhan dan perbandingan kinerja pemasok dengan cara yang konsisten.
3. Identifikasi, catat, dan kategorikan pemasok dan kontrak yang ada sesuai dengan kriteria yang ditentukan untuk mempertahankan daftar terperinci pemasok pilihan yang
perlu dikelola dengan hati-hati.
4. Secara berkala mengevaluasi dan membandingkan kinerja pemasok yang ada dan pemasok alternatif untuk mengidentifikasi peluang atau kebutuhan mendesak untuk mempertimbangkan kembali
kontrak pemasok saat ini.
APO10.02 Pilih pemasok. Dari Keterangan Keterangan Ke

Pilih pemasok sesuai dengan praktik yang adil dan formal
BAI02.02 (Rencana pengembangan Permintaan pemasok BAI02.01
untuk memastikan kesesuaian terbaik yang layak berdasarkan
LEVELACQUISITION IGH untuk informasi (RFI) dan BAI02.02
persyaratan yang ditentukan. Persyaratan harus dioptimalkan
permintaan proposal
dengan masukan dari pemasok potensial.
(RFP)
Evaluasi RFI dan RFP BAI02.02
Hasil keputusan evaluasi pemasok EDM04.01

BAI02.02
Kegiatan
1. Tinjau semua RFI dan RFP untuk memastikan bahwa

mereka: s#LEARLYDEFINEREQUIREMENTS
s)NCLUDEAPROSEDURTOKLARIFIKASIPERSYARATAN
s!RENDAHVENDORRSCUKUP WAKTUPERSIAPKANPROPOSAL MEREKA
s#LEARLYDEFINEAWARDCRITERIAANDTHEDECISIONPROCESS
%VALUATE2&)PASIR2&0SINSESUATU DENGAN KRITERIA PROSES PENILAIAN YANG DISETUJUI DAN UTAMA INDOKUMENTER BUKTI EVALUASI TERSEBUT
6ERIFYTHEREFERENCESOFCANDIDATEVENDORS
3. Pilih pemasok yang paling sesuai dengan RFP. Dokumentasikan dan komunikasikan keputusan, dan tandatangani kontrak.
4. Dalam kasus khusus akuisisi perangkat lunak, sertakan dan terapkan hak dan kewajiban semua pihak dalam persyaratan kontrak. Hak-hak ini dan
kewajiban dapat mencakup kepemilikan dan lisensi kekayaan intelektual, pemeliharaan, jaminan, prosedur arbitrase, persyaratan peningkatan, dan kesesuaian untuk tujuan, termasuk
keamanan, escrow, dan hak akses.
5. Dalam kasus khusus akuisisi sumber daya pembangunan, sertakan dan tegakkan hak dan kewajiban semua pihak dalam persyaratan kontrak.
Hak dan kewajiban ini dapat mencakup kepemilikan dan pemberian lisensi atas kekayaan intelektual; sesuai dengan tujuan, termasuk metodologi pengembangan; pengujian;
proses manajemen mutu, termasuk kriteria kinerja yang dipersyaratkan; ulasan kinerja; dasar pembayaran; jaminan; PROSEDUR arbitrase PENGELOLAAN SUMBER DAYA
MANUSIA DAN KEPATUHAN TERHADAP KEBIJAKAN PERUSAHAAN
6. Dapatkan nasihat hukum tentang perjanjian akuisisi pengembangan sumber daya mengenai kepemilikan dan lisensi kekayaan intelektual.
7. Dalam kasus khusus akuisisi infrastruktur, fasilitas dan layanan terkait, termasuk dan menegakkan hak dan kewajiban semua pihak dalam persyaratan kontrak. Hak dan kewajiban ini
dapat mencakup tingkat layanan, prosedur pemeliharaan, kontrol akses, keamanan, tinjauan kinerja, dasar pembayaran, dan prosedur arbitrase.

BAB 5
APO10.03 Mengelola hubungan dan kontrak Dari Keterangan Keterangan Ke

pemasok.
BAI03.04 Rencana akuisisi yang disetujui Peran dan tanggung Intern
Memformalkan dan mengelola hubungan pemasok untuk setiap
jawab pemasok
pemasok. Mengelola, memelihara, dan memantau kontrak dan
pemberian layanan. Pastikan bahwa kontrak baru atau yang diubah Proses komunikasi dan Intern
sesuai dengan standar perusahaan dan persyaratan hukum dan peninjauan
peraturan. Menangani perselisihan kontrak.
Hasil dan perbaikan yang Intern
disarankan
Kegiatan
1. Tetapkan pemilik hubungan untuk semua pemasok dan buat mereka bertanggung jawab atas kualitas layanan yang diberikan.
2. Tentukan komunikasi formal dan proses peninjauan, termasuk interaksi dan jadwal pemasok.
3. Menyetujui, mengelola, memelihara, dan memperbarui kontrak formal dengan pemasok. Pastikan bahwa kontrak sesuai dengan standar perusahaan dan hukum dan
persyaratan peraturan.
4. Dalam kontrak dengan pemasok layanan utama, termasuk ketentuan untuk meninjau lokasi pemasok dan praktik serta kontrol internal oleh manajemen atau
pihak ketiga yang independen.
5. Mengevaluasi efektivitas hubungan dan mengidentifikasi perbaikan yang diperlukan.
6. Menentukan, mengomunikasikan, dan menyepakati cara-cara untuk menerapkan perbaikan yang diperlukan dalam hubungan.
7. Gunakan prosedur yang telah ditetapkan untuk menangani perselisihan kontrak, pertama-tama gunakan, sedapat mungkin, hubungan dan komunikasi yang efektif untuk mengatasinya
masalah layanan.
8. Menentukan dan memformalkan peran dan tanggung jawab untuk setiap pemasok layanan. Ketika beberapa pemasok bergabung untuk menyediakan layanan, pertimbangkan untuk mengalokasikan a
memimpin peran kontraktor ke salah satu pemasok untuk bertanggung jawab atas keseluruhan kontrak.
APO10.04 Mengelola risiko pemasok. Dari Keterangan Keterangan Ke

)DENTIFIKASI DAN MANAJEMEN RISIKO YANG BERKAITAN DENGAN KEMAMPUAN PEMASOK
APO12.04 s2ESULTPIHAK KETIGA Risiko pengiriman pemasok APO12.01
untuk terus memberikan pelayanan yang aman, efisien dan
penilaian risiko yang teridentifikasi APO12.03
efektif.
ANALISIS DAN RISIKO s2ICE BAI01.01
laporan profil untuk
Persyaratan kontrak yang Intern
teridentifikasi untuk
meminimalkan risiko
Kegiatan
)DENTIFIKASI PEMANTAUAN DAN MANA MANAJEMEN YANG TEPAT RISIKO YANG BERKAITAN DENGAN KEMAMPUAN PEMASOK TERHADAP LAYANAN PEMBERIAN SECARA EFEKTIF, AMAN, TERPERCAYA
dan terus menerus.
2. Saat menentukan kontrak, sediakan potensi risiko layanan dengan mendefinisikan secara jelas persyaratan layanan, termasuk perjanjian escrow perangkat lunak,
pemasok alternatif atau perjanjian siaga untuk mengurangi kemungkinan kegagalan pemasok; keamanan dan perlindungan kekayaan intelektual (HAKI); dan persyaratan hukum
atau peraturan apa pun.
APO10.05 Memantau kinerja dan kepatuhan Dari Keterangan Keterangan Ke

pemasok.
Kriteria pemantauan Intern
Tinjau secara berkala kinerja keseluruhan pemasok, kepatuhan
kepatuhan pemasok
terhadap persyaratan kontrak, dan nilai uang, dan atasi masalah yang
teridentifikasi. Hasil tinjauan pemantauan MEA01.03
kepatuhan pemasok
Kegiatan
1. Menetapkan dan mendokumentasikan kriteria untuk memantau kinerja pemasok selaras dengan perjanjian tingkat layanan dan memastikan bahwa pemasok secara teratur dan
transparan melaporkan kriteria yang disepakati.
2. Memantau dan meninjau pemberian layanan untuk memastikan bahwa pemasok memberikan kualitas layanan yang dapat diterima, memenuhi persyaratan, dan mematuhi
kondisi kontrak.
3. Tinjau kinerja pemasok dan nilai uang untuk memastikan bahwa mereka dapat diandalkan dan kompetitif, dibandingkan dengan pemasok alternatif dan
kondisi pasar.
4. Mintalah tinjauan independen atas praktik dan kontrol internal pemasok, jika perlu.
5. Catat dan nilai hasil tinjauan secara berkala dan diskusikan dengan pemasok untuk mengidentifikasi kebutuhan dan peluang perbaikan.
6. Memantau dan mengevaluasi informasi yang tersedia secara eksternal tentang pemasok.

)3/ )%# 7.3 Manajemen pemasok
)4),6 11. Manajemen Pemasok
0ROJECT-ANAGEMENT"ODYOF+NOWLEDGE 0-"/+ PROSES PENGADAAN

(PMBOK)

BAB 5
Area: Manajemen
APO11 Manage Quality Domain: Sejajarkan, Rencanakan, dan Atur
Process Description
Mendefinisikan dan mengkomunikasikan persyaratan kualitas dalam semua proses, prosedur dan hasil perusahaan terkait, termasuk kontrol, pemantauan berkelanjutan, dan
penggunaan praktik dan standar yang telah terbukti dalam upaya peningkatan dan efisiensi berkelanjutan.

Memastikan pengiriman solusi dan layanan yang konsisten untuk memenuhi persyaratan kualitas perusahaan dan memenuhi kebutuhan pemangku kepentingan.
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASIWENEFITREALISATIONDIMONITORING
s0ERCENTOF)4LAYANANSHEREEDENEFITSARREALISATION s0ERCENTOF)4
AKTIFKAN INVESTMENTSHERECLAIMEDBENEFITAREMET
atau melebihi
07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis s.UMBEROFBUSINESSGANGGUANSDUETO)4INSIDEN LAYANAN

s0ERCENTOFBUSINESSSTAKEHOLDERPUAS)4LAYANANPENGIRIMAN MEMENUHI
tingkat layanan yang disepakati s0ERCENTOFUSERSPUAS DENGAN
KUALITASNYA)4LAYANAN PENYIMPANAN
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai s.UMBEROFPROGRAMMES PROJECTSONTIMEANDwithINBUDGET
anggaran, dan memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUSAT DENGAN PROGRAMME
PROJECTQUALITY s.UMBEROFPROGRAMMENETINGSIGNIFIKANANREWORK
DUETOQUALITYCOSTS#OSTOFAPLICATIONMAINTENANCE)
1. Pemangku kepentingan puas dengan kualitas solusi dan layanan. s! veragestakeholderSat -factoratingingwithsolutions dan layanan
s0ercentofstakeholderSatsat -soFied with)
0ROJECTANDLAYANANPENGIRIMANHASIL DAPAT DIPREDIKTIFKAN
3. Persyaratan kualitas diterapkan di semua proses. s.UMBEROFPROCESSESWITHADEQUALITYPERSYARATAN

s.UMBEROFPROCESSESWITHAFORMALQUALITYASSESSMENTREPORT
s.UMBEROF3,!STHATINCLUDEQUALITYKRITERIA PENERIMAAN

Bagan RACI APO11
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO11.01
Menetapkan sistem manajemen 100 AC DI SINI Saya C CCRCC I RR I Saya Saya
mutu (SMM).
APO11.02
Menentukan dan mengelola
C CRC R C CCARRRRRRR
Rencanakan,
Sejajarkan,
Atur
dan
standar, praktik, dan prosedur
kualitas.
APO11.03
Fokus manajemen kualitas ARC I CCR I Saya Saya INI Saya
pada pelanggan.
APO11.04
Melakukan pemantauan, C CRCRC R CCCCCCRCCC
pengendalian, dan tinjauan kualitas.
APO11.0
Mengintegrasikan manajemen mutu
CC Saya ACRR R
ke dalam solusi untuk pengembangan
dan pemberian layanan.
APO11.06
Pertahankan perbaikan CRC R CCARRRRRRR
terus-menerus.
APO11.01 Menetapkan sistem manajemen Dari Keterangan Keterangan Ke

mutu (SMM).
Di luar sistem kualitas COBIT Enterprisewide Peran, tanggung jawab, dan APO01.02
Membangun dan memelihara SMM yang menyediakan
hak keputusan SMM DSS06.03
pendekatan standar, formal dan berkelanjutan untuk
manajemen kualitas informasi, memungkinkan teknologi Rencana manajemen mutu BAI01.09
dan proses bisnis yang selaras dengan persyaratan bisnis
Hasil tinjauan BAI03.06
dan manajemen kualitas perusahaan.
efektivitas SMM
Kegiatan
1. Pastikan bahwa kerangka kontrol TI dan proses bisnis dan TI mencakup pendekatan standar, formal, dan berkelanjutan untuk manajemen mutu
yang selaras dengan persyaratan perusahaan. Dalam kerangka kontrol TI dan proses bisnis dan TI, identifikasi persyaratan dan kriteria kualitas
(misalnya, berdasarkan persyaratan hukum dan persyaratan dari pelanggan).
2. Tentukan peran, tugas, hak keputusan dan tanggung jawab untuk manajemen mutu dalam struktur organisasi.
$EFINEQUALITYMANAGEMENTPLANSFORIMPENTINGPROSESPROYEKSOROBJEKTIFSINALIGNMENTDENGANPRISEQUALITYMANAGEMENTKRITERIAAND
kebijakan. Catat data berkualitas.
4. Memantau dan mengukur efektivitas dan penerimaan manajemen mutu, dan meningkatkannya bila diperlukan.
5. Menyelaraskan manajemen kualitas TI dengan sistem kualitas seluruh perusahaan untuk mendorong pendekatan kualitas yang terstandarisasi dan berkelanjutan.
6. Memperoleh masukan dari manajemen dan pemangku kepentingan eksternal dan internal tentang definisi persyaratan mutu dan kriteria manajemen mutu.
7. Komunikasikan pendekatan secara efektif (misalnya, melalui program pelatihan kualitas formal yang teratur).
8. Secara teratur meninjau relevansi, efisiensi, dan efektivitas proses manajemen mutu tertentu yang berkelanjutan. Memantau pencapaian
TUJUAN KUALITAS

BAB 5
APO11.02 Menentukan dan mengelola standar, praktik, dan Dari Keterangan Keterangan Ke
prosedur kualitas.
BAI02.04 Ulasan kualitas yang disetujui Standar manajemen mutu Semua APO
Identifikasi dan pertahankan persyaratan, standar,
Semua BAI
prosedur, dan praktik untuk proses utama untuk memandu Di luar COBIT s) INDUSTRI PRAKTIK BAIK
Semua DSS
perusahaan dalam memenuhi maksud SMM yang disepakati. Ini s!KUALITAS TERSEDIA
Segala hal
harus sejalan dengan persyaratan kerangka kontrol TI. sertifikasi
Pertimbangkan sertifikasi untuk proses kunci, unit organisasi, produk
atau layanan.
Kegiatan
$EFINETHEQUALITYMANAGEMENTSTANDARPRAKTEKSANDPROSEDURSINLINEDENGAN)4PERSYARATAN KERANGKA KONTROL 5SEINDUSTRIPRAKTIK TERBAIK

REFERENSI KETIKA MENINGKATKAN DAN MENYESUAIKAN PRAKTIK KUALITAS ENTERPRISE
2. Mempertimbangkan manfaat dan biaya sertifikasi mutu.
APO11.03 Fokus manajemen kualitas pada pelanggan. Dari Keterangan Keterangan Ke

Fokuskan manajemen mutu pada pelanggan dengan
Di luar COBIT Bisnis dan pelanggan Persyaratan pelanggan untuk APO08.05
menentukan kebutuhan mereka dan memastikan keselarasan dengan
persyaratan kualitas manajemen kualitas APO09.03
praktik manajemen mutu.
BAI01.09
Kriteria penerimaan BAI02.01

BAI02.02
Tinjau hasil kualitas layanan, APO08.05

termasuk umpan balik APO09.05
pelanggan BAI05.01
BAI07.07
Kegiatan
1. Fokuskan manajemen kualitas pada pelanggan dengan menentukan persyaratan pelanggan internal dan eksternal dan memastikan keselarasan standar TI dan PRAKTEK
2. Mengelola kebutuhan dan harapan bisnis untuk setiap proses bisnis, layanan operasional TI dan solusi baru, serta menjaga kualitasnya
kriteria penerimaan. Tangkap kriteria penerimaan kualitas untuk dimasukkan dalam SLA.
3. Mengkomunikasikan kebutuhan dan harapan pelanggan di seluruh bisnis dan organisasi TI.
4. Secara berkala mendapatkan pandangan pelanggan tentang proses bisnis dan penyediaan layanan dan pengiriman solusi TI, untuk menentukan dampaknya terhadap standar TI dan
praktik dan untuk memastikan bahwa harapan pelanggan terpenuhi dan ditindaklanjuti.
5. Secara teratur memantau dan meninjau SMM terhadap kriteria penerimaan yang disepakati. Sertakan umpan balik dari pelanggan, pengguna, dan manajemen. Menanggapi
perbedaan dalam hasil tinjauan untuk terus meningkatkan SMM.
6. Menangkap kriteria penerimaan kualitas untuk dimasukkan dalam SLA.

APO11.04 Melakukan pemantauan, pengendalian, dan Dari Keterangan Keterangan Ke

tinjauan kualitas.
BAI03.06 Hasil tinjauan dan audit kualitas APO08.05
Memantau kualitas proses dan layanan secara berkelanjutan
APO09.04
seperti yang didefinisikan oleh SMM. Tetapkan, rencanakan, dan
s1UALITYREVIEWRESULTSexceptions and corrections APO09.05
terapkan pengukuran untuk memantau kepuasan pelanggan
s1UALITYASSURANCEPLAN BAI07.08
dengan kualitas serta nilai yang diberikan SMM. Informasi yang
dikumpulkan harus digunakan oleh pemilik proses untuk meningkatkan DSS02.07 s2EQUESTFULFILMENTSTATUS Kualitas proses tujuan dan metrik Semua APO
kualitas. dan laporan tren layanan Semua BAI
s)NCIDENTSTATUSAND Semua DSS
laporan tren Segala hal
Kegiatan
-ONITORKUALITASPROSESDAN LAYANANSONANBERLANGSUNGDAN SISTEMDASARMENJELASKANMEASURINGANALISIS MENINGKATKAN TEKNIKDAN

mengendalikan proses.
2. Menyiapkan dan melakukan tinjauan kualitas.
3. Laporkan hasil tinjauan dan mulai perbaikan bila perlu.
4. Pantau kualitas proses, serta kualitas nilai yang diberikan. Pastikan bahwa pengukuran, pemantauan, dan pencatatan informasi digunakan oleh pemilik proses untuk mengambil tindakan korektif
dan pencegahan yang sesuai.
-ONITORGOAL DRIVENQUALITYMETRIKSSELESAI DENGAN KUALITAS KESELURUHAN TUJUANMENUTUPKUALITAS FINDIVIDUALPROYEKDAN LAYANAN
6. Pastikan bahwa manajemen dan pemilik proses secara teratur meninjau kinerja manajemen kualitas terhadap metrik kualitas yang ditentukan.
7. Menganalisis hasil kinerja manajemen mutu secara keseluruhan.
APO11.0 Mengintegrasikan manajemen mutu ke dalam Dari Keterangan Keterangan Ke
solusi untuk pengembangan dan pemberian layanan.

Hasil pemantauan kualitas APO08.05
Memasukkan praktik manajemen kualitas yang relevan ke dalam
solusi dan penyampaian APO09.04
definisi, pemantauan, pelaporan, dan manajemen berkelanjutan dari
layanan BAI07.08
pengembangan solusi dan penawaran layanan.
Akar penyebab kegagalan APO08.02
pengiriman kualitas APO09.04

BAI07.08
MEA02.04
MEA02.07
MEA02.08
Kegiatan
1. Mengintegrasikan praktik manajemen mutu dalam proses dan praktik pengembangan solusi.
2. Terus memantau tingkat layanan dan memasukkan praktik manajemen mutu dalam proses dan praktik pemberian layanan.
3. Mengidentifikasi dan mendokumentasikan akar penyebab ketidaksesuaian, dan mengkomunikasikan temuan kepada manajemen TI dan pemangku kepentingan lainnya secara tepat waktu untuk
memungkinkan tindakan perbaikan yang akan diambil. Jika perlu, lakukan tinjauan tindak lanjut.

BAB 5
APO11.06 Pertahankan perbaikan terus-menerus. Dari Keterangan Keterangan Ke
Pertahankan dan komunikasikan secara teratur rencana kualitas

Komunikasi tentang Semua APO
keseluruhan yang mendorong peningkatan berkelanjutan. Ini harus
peningkatan berkelanjutan dan Semua BAI
mencakup kebutuhan, dan manfaat dari, perbaikan terus-menerus.
praktik terbaik Semua DSS
Mengumpulkan dan menganalisis data tentang SMM, dan meningkatkan
Segala hal
efektivitasnya. Perbaiki ketidaksesuaian untuk mencegah terulangnya
kembali. Mempromosikan budaya kualitas dan perbaikan berkelanjutan. Contoh amalan yang baik untuk Semua APO
dibagikan Semua BAI
Semua DSS
Segala hal
Hasil benchmark Semua APO
ulasan kualitas Semua BAI
Semua DSS
Segala hal
Kegiatan
1. Pertahankan dan komunikasikan secara teratur kebutuhan, dan manfaat, perbaikan berkelanjutan.
2. Membangun platform untuk berbagi praktik terbaik dan untuk menangkap informasi tentang cacat dan kesalahan untuk memungkinkan pembelajaran darinya.
3. Mengidentifikasi contoh cacat kualitas yang berulang, menentukan akar penyebabnya, mengevaluasi dampak dan hasilnya, dan menyepakati tindakan perbaikan dengan TIM LAYANAN DAN PROYEK
PENYIMPANAN )DENTIFYCONTOHKUALITAS SANGAT BAIK PROSES PENGIRIMAN YANG DAPAT MANFAATKAN LAYANAN ATAU PROYEK LAINNYA SANDIBAGIKAN DENGAN LAYANAN
DAN PROYEK
tim pengiriman untuk mendorong perbaikan.
5. Mempromosikan budaya kualitas dan perbaikan berkelanjutan.
6. Membangun lingkaran umpan balik antara manajemen mutu dan manajemen masalah.
7. Memberikan pelatihan kepada karyawan tentang metode dan alat perbaikan berkelanjutan.
8. Tolok ukur hasil tinjauan kualitas terhadap data historis internal, pedoman industri, standar, dan data dari jenis perusahaan yang serupa.
)3/ )%#


BAB 5
Area: Manajemen
APO12 Kelola Risiko Domain: Sejajarkan, Rencanakan, dan Atur
Proses Deskripsi Terus

mengidentifikasi, menilai, dan mengurangi risiko terkait TI dalam tingkat toleransi yang ditetapkan oleh manajemen eksekutif perusahaan.

Mengintegrasikan pengelolaan risiko perusahaan terkait TI dengan ERM keseluruhan, dan menyeimbangkan biaya dan manfaat pengelolaan
risiko perusahaan terkait TI.
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN FINTING
eksternal dan Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan Kepatuhan yang
Diprioritaskan RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN penilaian risiko
06 Transparansi biaya, manfaat dan risiko TI s0ERCENTOFINVESTMENTBUSINESSCASESWITHCLEARLYDEFINEDANDAPPROVED

expected IT-related costs and benefits
s0ERCENTOF)4SERVICESWITHCLEARLYDEFINEDANDAPPROVEDOPERATIONAL
costs and expected benefits
s3ATISFACTIONSURVEYOFKEYSTAKEHOLDERSREGARDINGTHELEVELOF
transparency, understanding and accuracy of IT financial information
10 Keamanan informasi, infrastruktur pemrosesan dan aplikasi s.UMBEROFSECURITYINCIDENTSCAUSINGFINANCIALLOSSBUSINESSDISRUPTION

or public embarrassment
s.UMBEROF)4SERVICESWITHOUTSTANDINGSECURITYREQUIREMENTS
s4IMETOGRANTCHANGEANDREMOVEACCESSPRIVILEGESCOMPAREDTO agreed-
on service levels s&REQUENCYOFSECURITYASSESSMENTAGAINSTLATESTSTANDARDS
and guidelines
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, s.UMBEROFPROGRAMMES PROJECTSONTIMEANDwithINBUDGET
dan memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUSAT DENGAN PROGRAMME
1. Risiko terkait TI diidentifikasi, dianalisis, dikelola, dan dilaporkan. s$EGREEOFVISIBILITYANDRECOGNITIONINTHECURENTENVIRONMENT

s.UMBEROFLOSSEVENTSDENGAN KARAKTERISTIK KUNCICAPTUREDINREPOSITORIES
s0ERCENTOFAUDITEVENTSANDTRENDSCAPTUREDINREPOSITORIES
2. Ada profil risiko terkini dan lengkap. s0ERCENTOFKEYBUSINESSPROCESSESINCLUDEDINHERISKPROFILE

s#OMPLETENESSOFATTRIBUTESANDVALUESINTHERISKPROFILE 3.
Semua tindakan manajemen risiko yang signifikan dikelola dan dikendalikan. s0ERCENTOFRISKMANAGEMENTPROPOSALSREJECTEDDUETOLACKOF pertimbangan
risiko terkait lainnya
s.UMBEROFSIGNIFICANTINSIDENTSNOTIDENTIFIEDANDINCLUDED INHERISK
portofolio manajemen s0ERCENTOF)4 RENCANA TINDAKAN RISIKO
4. Tindakan manajemen risiko dilaksanakan secara efektif. DILAKSANAKAN SEBAGAI RESMI YANG DIRANCANGKAN SEUMURNYA.

Bagan RACI APO12
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO12.01
Saya R R RR I CCARRRRRRR
Mengumpulkan data.
APO12.02
Saya R C RC I RRACCCCCCCC
Analisis risiko.
APO12.03
Saya R C AC I RRRCCCCCCCC
Rencanakan,
Sejajarkan,
Atur
dan
Menjaga profil risiko.
APO12.04
Saya R C RC I CCACCCCCCCC
Mengartikulasikan risiko.
APO12.05
Mendefinisikan portofolio Saya R C AC I CCRCCCCCCCC
tindakan manajemen risiko.
APO12.06
Saya R R RR I CCARRRRRRR
Menanggapi risiko.
APO12.01 Mengumpulkan data. Dari Keterangan Keterangan Ke

Identifikasi dan kumpulkan data yang relevan untuk memungkinkan
EDM03.01 Evaluasi kegiatan Data tentang lingkungan Intern
identifikasi, analisis, dan pelaporan risiko terkait TI yang efektif.
manajemen risiko operasi yang berkaitan
dengan risiko
EDM03.02 s!PROSES YANG DISETUJUI Data tentang kejadian risiko Intern

untuk mengukur dan faktor yang berkontribusi
manajemen risiko
s+EYOBJECTIVESTOBE
dipantau untuk
manajemen risiko
s2ISKMANAGEMENT
kebijakan
AP02.02 Kesenjangan dan risiko terkait Masalah dan faktor risiko EDM03.01
dengan kemampuan saat ini yang muncul APO01.03
AP02.02
APO02.05 Tugas beresiko
APO10.04 Risiko pengiriman pemasok
yang teridentifikasi
DSS02.07 Status insiden dan

laporan tren

BAB 5
APO12.01 Kegiatan
1. Menetapkan dan memelihara metode untuk pengumpulan, klasifikasi, dan analisis data terkait risiko TI, mengakomodasi berbagai jenis peristiwa, banyak
kategori risiko TI dan beberapa faktor risiko.
2ECORDRELEVANTDATAONTHEENTERPRISE SINTERNALANDEXTERNALOPERATINGENVIRONMENT YANG DAPAT DILAKSANAKANSIGNIFICANTROLEINTHEMANAGEMENTOF)4RISK
3. Survei dan analisis data risiko TI historis dan pengalaman kerugian dari data dan tren yang tersedia secara eksternal, rekan industri melalui berbasis industri
log peristiwa, database, dan perjanjian industri untuk pengungkapan peristiwa umum.
2ECORDDATAONRISKEVENT YANG TELAH MENYEBABKANDORM DAPAT MENYEBABKAN DAMPAKSTO)4NILAI MANFAAT)4PROGRAMDAN PROYEK PENYIMPANANDAN ATAU)4
operasi dan pemberian layanan. Menangkap data yang relevan dari isu-isu terkait, insiden, masalah dan investigasi.
5. Untuk kelas acara serupa, atur data yang dikumpulkan dan soroti faktor-faktor yang berkontribusi. Tentukan faktor-faktor yang berkontribusi umum di seluruh
beberapa acara.
6. Menentukan kondisi spesifik yang ada atau tidak ada saat kejadian risiko terjadi dan bagaimana kondisi tersebut memengaruhi frekuensi kejadian
dan besaran kerugian.
7. Lakukan analisis peristiwa dan faktor risiko secara berkala untuk mengidentifikasi masalah risiko baru atau yang muncul dan untuk mendapatkan pemahaman tentang internal dan
faktor risiko eksternal.
APO12.02 Analisis risiko. Dari Keterangan Keterangan Ke
Mengembangkan informasi yang berguna untuk mendukung keputusan

DSS04.02 Analisis dampak bisnis Lingkup upaya analisis risiko Intern
risiko yang memperhitungkan relevansi bisnis dari faktor risiko.
DSS05.01 Evaluasi potensi ancaman Skenario risiko TI Intern
Penasihat Ancaman dari Luar COBIT Hasil analisis risiko EDM03.03

APO01.03
AP02.02
BAI01.10
Kegiatan
1. Tentukan luas dan dalamnya upaya analisis risiko yang tepat, dengan mempertimbangkan semua faktor risiko dan kekritisan aset bisnis. Tetapkan cakupan analisis risiko setelah melakukan
analisis biaya-manfaat.
"UILDANDREGULARLYUPDATE)4SKENARIO RISIKOTERMASUK KOMPONENSCENARIOSOFCASCADINGDAN ORCOINSIDENTALTHREATTYPESANDDEVELOPEXPECTATIONFOR

aktivitas kontrol khusus, kemampuan untuk mendeteksi dan tindakan respons lainnya.
3. Perkirakan frekuensi dan besarnya kerugian atau keuntungan yang terkait dengan skenario risiko TI. Mempertimbangkan semua faktor risiko yang berlaku, mengevaluasi diketahui
pengendalian operasional dan memperkirakan tingkat risiko residual.
4 Bandingkan risiko residual dengan toleransi risiko yang dapat diterima dan identifikasi eksposur yang mungkin memerlukan respons risiko.
!NALYSECOST MANFAATFPOTENSIALRISKRESPONSEOPSISUCHASAHINDARI MENGURANGI MITIGATETRANSFER SHAREANDMENERIMA DANEKSPLOIT SEIZE 0ROPOSETHE

respons risiko yang optimal.
3MENENTUKAN PERSYARATAN TINGKAT TINGGI UNTUK PROYEK ATAU PROGRAM YANG AKAN MELAKSANAKAN RESPONS RISIKO TERPILIH )DENTIFIKASI PERSYARATANDANDEKSPEKSI
untuk kontrol kunci yang tepat untuk respons mitigasi risiko.
6ALIDASI HASIL ANALISIS HASIL SEBELUM MENGGUNAKAN INDUSTRI PEMBUATAN KEPUTUSAN MENGKONFIRMASI BAHWA ANALISIS ALIRAN DENGAN PERSYARATAN PRISER ENTER DAN VERIFIKASI
bahwa estimasi dikalibrasi dengan benar dan diteliti untuk bias.

APO12.03 Mempertahankan profil risiko. Dari Keterangan Keterangan Ke

Memelihara inventarisasi risiko dan atribut risiko yang diketahui
EDM03.01 s!PPROVEDRISK Skenario risiko yang Intern
(termasuk frekuensi yang diharapkan, dampak dan respons
tingkat toleransi terdokumentasi berdasarkan lini
potensial) dan sumber daya terkait, kemampuan, dan aktivitas
s2ISKAPPETITEGUIDANCE bisnis dan fungsi
pengendalian saat ini.
APO10.04 Risiko pengiriman pemasok Profil risiko gabungan, EDM03.02
yang teridentifikasi termasuk status tindakan APO02.02
manajemen risiko
DSS05.01 Evaluasi potensi
ancaman
Kegiatan
1. Inventarisasi proses bisnis, termasuk personel pendukung, aplikasi, infrastruktur, fasilitas, catatan manual kritis, vendor, pemasok, dan
outsourcing, dan mendokumentasikan ketergantungan pada proses manajemen layanan TI dan sumber daya infrastruktur TI.
2. Menentukan dan menyepakati layanan TI dan sumber daya infrastruktur TI mana yang penting untuk menopang operasi proses bisnis. Menganalisa
ketergantungan dan mengidentifikasi tautan yang lemah.
3. Agregat skenario risiko saat ini berdasarkan kategori, lini bisnis, dan area fungsional.
4. Secara teratur, tangkap semua informasi profil risiko dan konsolidasikan ke dalam profil risiko gabungan.
5. Berdasarkan semua data profil risiko, tentukan serangkaian indikator risiko yang memungkinkan identifikasi dan pemantauan risiko saat ini dan tren risiko dengan cepat.
6. Menangkap informasi tentang kejadian risiko TI yang telah terjadi, untuk dimasukkan dalam profil risiko TI perusahaan.
7. Menangkap informasi tentang status rencana tindakan risiko, untuk dimasukkan dalam profil risiko TI perusahaan.
APO12.04 Mengartikulasikan risiko. Dari Deskripsi Keterangan Ke

Memberikan informasi tentang keadaan terkini dari eksposur dan
Analisis risiko dan EDM03.03
peluang terkait TI secara tepat waktu kepada semua pemangku
laporan profil risiko untuk EDM05.02
kepentingan yang diperlukan untuk tanggapan yang tepat.
pemangku kepentingan APO10.04
MEA02.08
Tinjau hasil penilaian EDM03.03

risiko pihak ketiga APO10.04
MEA02.01
Peluang untuk EDM03.03

diterima
berisiko lebih besar
Kegiatan
1. Laporkan hasil analisis risiko kepada semua pemangku kepentingan yang terkena dampak dalam bentuk dan format yang berguna untuk mendukung keputusan perusahaan. Jika memungkinkan, sertakan
probabilitas dan rentang kerugian atau keuntungan bersama dengan tingkat kepercayaan yang memungkinkan manajemen untuk menyeimbangkan risiko-pengembalian.
2. Memberikan pemahaman kepada pengambil keputusan tentang skenario terburuk dan paling mungkin, eksposur uji tuntas, dan reputasi signifikan, hukum
atau pertimbangan regulasi.
3. Melaporkan profil risiko terkini kepada seluruh pemangku kepentingan, termasuk efektivitas proses manajemen risiko, efektivitas pengendalian, gap, inkonsistensi, redundansi, status
remediasi, dan dampaknya terhadap profil risiko.
2EVIEWHASILNYASOFOOBJEKTIFPIHAK KETIGA PENILAIANSINTERNALAUDITDANKUALITASJAMINANTINJAUANSANDMAPTHEMTOTHERISKPROFIL 2EVIEW

mengidentifikasi kesenjangan dan eksposur untuk menentukan kebutuhan analisis risiko tambahan.
5. Secara berkala, untuk area dengan risiko relatif dan paritas kapasitas risiko, identifikasi peluang terkait TI yang memungkinkan penerimaan risiko yang lebih besar
dan meningkatkan pertumbuhan dan pengembalian.
APO12.05 Mendefinisikan portofolio tindakan Dari Keterangan Keterangan Ke

manajemen risiko.
0ROJECTPROPOSALFOR AP02.02
Kelola peluang untuk mengurangi risiko ke tingkat yang dapat
mengurangi risiko APO13.02
diterima sebagai portofolio.
Kegiatan
1. Memelihara inventarisasi aktivitas pengendalian yang ada untuk mengelola risiko dan yang memungkinkan risiko diambil sesuai dengan selera dan toleransi risiko.
Mengklasifikasikan aktivitas pengendalian dan memetakannya ke pernyataan risiko TI tertentu dan agregasi risiko TI.
2. Tentukan apakah setiap entitas organisasi memantau risiko dan menerima akuntabilitas untuk beroperasi dalam tingkat toleransi individu dan portofolionya.
$EFINEABALANCEDSETOFPROJECTPROPOSALSDESIGNEDTOREDUCERRISKAND ORPROJECTSTHATENABLESTRATEGICENTERPRISEOPPORTUNITIESMENIMBANGKAN
PENGARUH BIAYA MANFAAT PADA PROFIL RISIKO SAAT INI DAN PERATURAN

BAB 5
APO12.06 Menanggapi risiko. Dari Keterangan Keterangan Ke

Tanggapi secara tepat waktu dengan langkah-langkah efektif
EDM03.03 Tindakan perbaikan Rencana respons insiden DSS02.05
untuk membatasi besarnya kerugian dari peristiwa terkait TI.
untuk mengatasi terkait risiko
penyimpangan manajemen risiko
Komunikasi APO01.04
dampak risiko APO08.04
DSS04.02
Akar penyebab terkait risiko DSS02.03

DSS03.01
DSS03.02
DSS04.02
MEA02.04
MEA02.07
MEA02.08
Kegiatan
1. Mempersiapkan, memelihara, dan menguji rencana yang mendokumentasikan langkah-langkah spesifik yang harus diambil ketika peristiwa risiko dapat menyebabkan operasional atau pengembangan yang signifikan
insiden dengan dampak bisnis yang serius. Pastikan bahwa rencana mencakup jalur eskalasi di seluruh perusahaan.
2. Kategorikan insiden, dan bandingkan eksposur aktual dengan ambang batas toleransi risiko. Mengkomunikasikan dampak bisnis kepada pengambil keputusan sebagai bagian
dari pelaporan, dan memperbarui profil risiko.
3. Menerapkan rencana respons yang tepat untuk meminimalkan dampak ketika insiden risiko terjadi.
%XAMINEPASTADVERSEEVENTS KEHILANGANDAN KEHILANGANPELANGGARANDANDETERMINEROOTCAUSES #OMMUNICATEROOTCAUSEADDITIONALRISKRESPONSE

persyaratan dan perbaikan proses untuk pengambil keputusan yang tepat dan memastikan bahwa penyebab, persyaratan respons, dan peningkatan proses disertakan dalam
proses tata kelola risiko.
)3/ )%# Sistem manajemen keamanan informasi—Persyaratan, Bagian 4
)3/ )%#
)3/ )%# 6. Proses untuk Mengelola Risiko


BAB 5
Area: Manajemen
APO13 Manage Security Domain: Sejajarkan, Rencanakan, dan Atur
Process Description
Mendefinisikan, mengoperasikan dan memantau sistem untuk manajemen keamanan informasi.

+EEPTHEIMPACTANDOCCURRENCEOFINFORMATIONSECURITYINSIDENTSWITHINTHEENTERPRISE SRISKAPPETITELEVELS
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN FINTING
eksternal dan Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan Kepatuhan yang
Diprioritaskan RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN penilaian risiko
06 Transparansi biaya, manfaat dan risiko TI s0ERCENTOFINVESTMENTBUSINESSCASESWITHCLEARLYDEFINEDANDAPPROVED

expected IT-related costs and benefits
s0ERCENTOF)4SERVICESWITHCLEARLYDEFINEDANDAPPROVEDOPERATIONAL
costs and expected benefits
s3ATISFACTIONSURVEYOFKEYSTAKEHOLDERSREGARDINGTHELEVELOF
transparency, understanding and accuracy of IT financial information
10 Keamanan informasi, infrastruktur pemrosesan dan aplikasi s.UMBEROFSECURITYINCIDENTSCAUSINGFINANCIALLOSSBUSINESSDISRUPTION

or public embarrassment
s.UMBEROF)4SERVICESWITHOUTSTANDINGSECURITYREQUIREMENTS
s4IMETOGRANTCHANGEANDREMOVEACCESSPRIVILEGESCOMPAREDTO agreed-
on service levels s&REQUENCYOFSECURITYASSESSMENTAGAINSTLATESTSTANDARDS
and guidelines s,KEMBANGKAN BISNIS KEPUASAN PENGGUNA DENGAN KUALITAS
DAN KETEPATAN WAKTU (atau ketersediaan) dari informasi manajemen
1. Ada sistem yang mempertimbangkan dan secara efektif menangani persyaratan s.UMBEROFKEYPERAN KEAMANANDENTIFIKASI
keamanan informasi perusahaan. JELAS s.UMBEROFSECURITYRELATEDDINCIDENT
2. Rencana keamanan telah ditetapkan, diterima, dan dikomunikasikan s, evelofstakeholderSata -factslow the cetururity planThouthout the enterprise
di seluruh perusahaan. s.umsecuritysolutionsDeviatingDromTheplan s.
BumbherOfSecuritySolutionsDeviatingDromeChomeCureCure -noMerDiCure
-nOrective -nOrnOrdOndOndOndeCureCureCureCuration
3. Solusi keamanan informasi diimplementasikan dan dioperasikan secara

konsisten di seluruh perusahaan.

Bagan RACI APO13
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

APO13.01
C C C DI SINI I CACC CCR I Saya SEPULUH RCC
Membangun dan memelihara SMKI.
APO13.02
Menentukan dan mengelola
C CCCC I Saya CACC CCRCCCRCRCC
rencana penanganan risiko
keamanan informasi.
Rencanakan,
Sejajarkan,
Atur
dan
APO13.03
CRC R Sebuah CCRRRRRRRR
Memantau dan meninjau SMKI.

APO13.01 Membangun dan memelihara sistem Dari Keterangan Keterangan Ke
manajemen keamanan informasi (ISMS).
Pendekatan keamanan di luar COBIT kebijakan SMKI Intern
Membangun dan memelihara SMKI yang
Enterprise
menyediakan pendekatan standar, formal dan Pernyataan lingkup SMKI APO01.02
berkelanjutan untuk manajemen keamanan informasi, DSS06.03
memungkinkan teknologi aman dan proses bisnis yang
selaras dengan persyaratan bisnis dan manajemen
keamanan perusahaan.
Kegiatan
1. Tentukan ruang lingkup dan batasan SMKI dalam hal karakteristik perusahaan, organisasi, lokasi, aset, dan teknologinya.
)TERMASUK DETAILSOFANDJUSTIFICATIONFORANYPENGECUALIANFROMTHESCOPE
2. Tentukan SMKI sesuai dengan kebijakan perusahaan dan selaras dengan perusahaan, organisasi, lokasi, aset, dan teknologinya.
3. Menyelaraskan SMKI dengan pendekatan perusahaan secara keseluruhan untuk manajemen keamanan.
4. Memperoleh otorisasi manajemen untuk menerapkan dan mengoperasikan atau mengubah SMKI.
5. Menyiapkan dan memelihara pernyataan penerapan yang menjelaskan ruang lingkup SMKI.
6. Menentukan dan mengkomunikasikan peran dan tanggung jawab manajemen keamanan informasi.
7. Komunikasikan pendekatan SMKI.

BAB 5
APO13.02 Menentukan dan mengelola rencana penanganan Dari Keterangan Keterangan Ke
risiko keamanan informasi.

APO02.04 Kesenjangan dan perubahan Rencana penanganan risiko Semua EDM
Mempertahankan rencana keamanan informasi yang menjelaskan
yang diperlukan untuk keamanan informasi Semua APO
bagaimana risiko keamanan informasi dikelola dan diselaraskan
mewujudkan kemampuan target Semua BAI
dengan strategi perusahaan dan arsitektur perusahaan. Memastikan
Semua DSS
bahwa rekomendasi untuk menerapkan peningkatan keamanan
Segala hal
didasarkan pada kasus bisnis yang disetujui dan diimplementasikan
sebagai bagian integral dari pengembangan layanan dan solusi, APO03.02 Deskripsi domain Kasus bisnis keamanan APO02.05
kemudian dioperasikan sebagai bagian integral dari operasi bisnis. dasar dan definisi informasi
arsitektur
APO12.05 0ROJECTPROPOSALFOR
mengurangi risiko
Kegiatan
&ORMULATEDANMENELITININFORMASI KEAMANAN RISIKOPERAWATANPLAN DISESUAIKAN DENGANSTRATEGIGICOBJECTIVESANDHEENTERPRISEARCHITECTURE %NSURETHE

plan mengidentifikasi praktik manajemen dan solusi keamanan yang tepat dan optimal, dengan sumber daya, tanggung jawab, dan prioritas terkait untuk mengelola risiko keamanan informasi
yang teridentifikasi.
2. Memelihara sebagai bagian dari arsitektur perusahaan, inventaris komponen solusi yang ada untuk mengelola risiko terkait keamanan.
3. Mengembangkan proposal untuk mengimplementasikan rencana penanganan risiko keamanan informasi, yang didukung oleh kasus bisnis yang sesuai, yang mencakup pertimbangan:
pendanaan dan alokasi peran dan tanggung jawab.
4. Memberikan masukan untuk desain dan pengembangan praktik manajemen dan solusi yang dipilih dari rencana penanganan risiko keamanan informasi.
5. Tentukan bagaimana mengukur efektivitas praktik manajemen yang dipilih dan tentukan bagaimana pengukuran ini akan digunakan untuk menilai
efektif untuk menghasilkan hasil yang sebanding dan dapat direproduksi.
6. Merekomendasikan pelatihan keamanan informasi dan program kesadaran.
7. Mengintegrasikan perencanaan, desain, implementasi, dan pemantauan prosedur keamanan informasi dan pengendalian lain yang mampu memungkinkan proses yang cepat
pencegahan, deteksi kejadian keamanan dan respon terhadap insiden keamanan.
APO13.03 Memantau dan meninjau SMKI. Dari Keterangan Keterangan Ke
Memelihara dan secara teratur mengkomunikasikan kebutuhan,

DSS02.02 Insiden dan permintaan layanan laporan audit SMKI MEA02.01
dan manfaat, peningkatan keamanan informasi yang
berkelanjutan. Mengumpulkan dan menganalisis data tentang SMKI, Rekomendasi untuk Intern
diprioritaskan
dan meningkatkan efektivitas SMKI. Perbaiki ketidaksesuaian untuk meningkatkan SMKI
mencegah terulangnya kembali. Mempromosikan budaya keamanan
dan perbaikan berkelanjutan.
Kegiatan
5NDERTAKERREGULARREVIEWSOFTHEEFFECTIVENESSSOFTHE)3-3TERMASUK RAPAT)3-3 KEBIJAKANANDOBJEKTIFSANDREVIEWPraktek KEAMANAN 4AKEINTO

akun hasil audit keamanan, insiden, hasil dari pengukuran efektivitas, saran dan umpan balik dari semua pihak yang berkepentingan.
2. Melakukan audit SMKI internal pada interval yang direncanakan.
3. Melakukan tinjauan manajemen SMKI secara teratur untuk memastikan bahwa ruang lingkup tetap memadai dan perbaikan dalam proses SMKI
diidentifikasi.
4. Memberikan masukan terhadap rencana pemeliharaan keamanan dengan mempertimbangkan temuan kegiatan pemantauan dan peninjauan.
5. Merekam tindakan dan peristiwa yang dapat berdampak pada efektivitas atau kinerja SMKI.
)3/ )%# Sistem manajemen keamanan informasi—Persyaratan, Bagian 4
)3/ )%#
.ATIONAL)NSTITUTEOF3TANDARDSAND Kontrol Keamanan yang Direkomendasikan untuk Sistem Informasi Federal AS

4EKNOLOGI.)3430 2EV


BAB 5
MEMBANGUN, MENDAPATKAN, DAN MELAKSANAKAN (BAI)
01 -PROGRAM ANAGEDAN PROYEK
02 Mengelola definisi persyaratan.
03 Kelola identifikasi dan pembuatan solusi.
04 Kelola ketersediaan dan kapasitas.
05 Mengelola pemberdayaan perubahan organisasi.
06 Kelola perubahan.
07 Kelola penerimaan dan transisi perubahan.
08 Mengelola pengetahuan.
09 Mengelola aset.
10 Kelola konfigurasi.


BAB 5
Area: Manajemen
BAI01 Kelola Program dan Proyek Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
-ANAGESEMUAPROGRAMSANDPROJECTFROMTHEINVESTMENTPORTFOLIOINALIGNMENTDENGAN ENTERPRISESTRATEGYANDINACO ORDINATEDWAY )NITIATEPLANCONTROL
DANPENGELOLAANPROGRAMDAN PROYEKSANDCLOSETINJAUAN PASCA IMPLEMENTASI

Sadari manfaat bisnis dan kurangi risiko penundaan tak terduga, biaya, dan pengikisan nilai dengan meningkatkan komunikasi dan keterlibatan
BISNISDANENDUSERSENMENJAMININVESTASI DAN KUALITAS PROYEK DAPAT DITERIMA DAN MEMAKSIMALKAN KONTRIBUSI MEREKA TERHADAP INVESTASI DAN LAYANAN OLAHRAGAFOLIO
01 Penyelarasan TI dan strategi bisnis yang mendukung) 4 Tujuan Strategis, EvelofstakeholderSatishaftion dengan
CopeStheplepannedport Coveration -programs yang disederhanakan
s0ERCENTOFENTERPRISERISKASSESSMENT TERMASUK)4 RELATEDRISK

& REQUENCYOFUPDATEOFRISKPROFILE
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASIWENEFITREALISATIONDIMONITORING melalui
siklus hidup ekonomi penuh s0ERCENTOF)4LAYANANSHEREEDENEFITSARREALISATION
atau melebihi
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, s.UMBEROFPROGRAMMES PROJECTSONTIMEANDwithINBUDGET
dan memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUSAT DENGAN PROGRAMME
2ELEVANTSTAKEHOLDERTERLIBAT DALAM PROGRAMDAN PROYEK s0ERCENTOFSTAKEHOLDERTERLIBAT EFEKTIF

s,EVELOFSTAKEHOLDERS KEPUASAN DALAM KETERLIBATAN
4 RUANG LINGKUP DAN HASIL PROGRAM DAN PROYEK DAPAT DIPERLUKAN s0ERCENTOFSTAKEHOLDERSmenyetujuiENTERPRISENEEDSCOPEPLANNED
SESUAI DENGAN TUJUAN Outcomeandlevelofprojectrisk
s0ercentOfprojecjecjecjectyderjokendendendowing -Ad -coverinessscasesssase
0ROGRAMDAN RENCANA PROYEKSEKALIKELAK UNTUK S0erCentofactivitiity -ininsignedDtoscanDanDeD -ExpectedOutComes -program

MENCAPAI hasil yang diharapkan. -program -program -friat -friat -friatDid -friateDid -rogi -friatDidasi
4 PROGRAM DAN KEGIATAN PROYEK DILAKSANAKAN SESUAI dengan

rencana.
4HEREARESCUKUP PROGRAM DAN PROYEK SUMBER DAYA MELAKUKAN s.UMBEROFRESOURCEISSUES misal SKILLSCAPACITY
kegiatan sesuai rencana.
4HEPROGRAMMEANDPROJECTDIHARAPKANMANFAATNYATERCAPAI s0ERCENTOFEKSPEKSIMANFAAT YANG DICAPAI

dan diterima. s0ERCENTOFCOMESDENGAN WAKTU PERTAMAPENERIMAAN
d,EVELOFSTAKEHOLDERSKEPUASANDIEKSPRESKANATPROYEK PENUTUPTINJAUAN

Bagan RACI BAI01
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

BAI01.01
Mempertahankan
Saya ACCR R C C CCR
pendekatan standar untuk program
dan MANAJEMEN PROYEK
BAI01.02
saya RCCARRRRR CCCC CCCC
Memulai program.
BAI01.03
Mengelola keterlibatan ACRRRCR Saya Saya RCCC CCCC

BAI01.04
Mengembangkan dan CCAC RRRC CCCCCC CCCC
memelihara rencana program.
BAI01.05
Luncurkan dan jalankan IC CCAR RR CCRRRR CCCC
program.
BAI01.06
Memantau, mengontrol dan DAN KE RRRC CRR CC C
melaporkan hasil program.
BAI01.07
Implementasikan
Dapatkan,
Bangun,
dan
3PROYEK TARTUPANDINITIATE RR I AR CCRC CCCC
dalam suatu program.
BAI01.08
CI AR CCCCCCCC
0LANPROJECT
BAI01.09
Kelola program dan RR I AR C CCCCRC CCCC
PROJECTQUALITY
BAI01.10
Kelola program dan RR I AR C CCCCRC CCCC
PROJECTRISK
BAI01.11
IRI AR C CRCCRC CCCC
-ONITORANDCONTROLPROJECTS
BAI01.12
-ANAGEPROJECTRESOURCESAND RI AR C CCCCRC CCCC
paket kerja.
BAI01.13
CC I AR C CCCCCC CCCC
#LOSEAPROJECTORITERATION
BAI01.14
Saya CCCAR saya RRR RCCC CCCC
Menutup program.

BAB 5
BAI01 Proses Praktek, Input/Output dan Kegiatan
BAI01.01 Mempertahankan pendekatan standar untuk Dari Keterangan Keterangan Ke

program dan manajemen proyek.
EDM02.02 Persyaratan untuk Program yang diperbarui dan Intern
Pertahankan pendekatan standar untuk program dan
tinjauan gerbang panggung MANAJEMEN PROYEK
PROJECTMANAGEMENTTHATENABLESGOVERNANCEAND
pendekatan
tinjauan manajemen dan pengambilan keputusan serta penyampaian EDM02.03 Tindakan untuk meningkatkan
kegiatan manajemen yang berfokus pada pencapaian nilai dan tujuan penyampaian nilai
(persyaratan, risiko, biaya, jadwal, kualitas) untuk bisnis secara

APO03.04 s!RCHITECTUREGOVERNANCE
konsisten.
persyaratan
s)FASE PELAKSANAAN
deskripsi
APO05.05 Portofolio program,

layanan, dan aset yang
diperbarui
APO10.04 Risiko pengiriman pemasok
yang teridentifikasi
Kegiatan
-PENDEKATAN DANPENDEKATANPENDEKATANPENDEKATANPROGRAMDANMANAJEMEN PROYEK DISESUAIKAN DENGAN SPESIFIKASI ENTERPRISE SSSPESIFIKASI LINGKUNGANDAN DENGAN BAIK
praktek berdasarkan proses yang ditetapkan dan penggunaan teknologi tepat guna. Pastikan bahwa pendekatan tersebut mencakup siklus hidup penuh dan disiplin yang harus diikuti,
termasuk pengelolaan ruang lingkup, sumber daya, risiko, biaya, kualitas, waktu, komunikasi, keterlibatan pemangku kepentingan, pengadaan, kontrol perubahan, integrasi dan realisasi
manfaat.
5PDATEPROGRAMDANMANAJEMEN PROYEKPENDEKATANPENDEKATANPELAJARANPELAJARI DARI PENGGUNAAN
BAI01.02 Memulai program. Dari Keterangan Keterangan Ke

Memulai program untuk mengkonfirmasi manfaat yang diharapkan
APO03.04 s)FASE PELAKSANAAN Kasus bisnis konsep APO05.03
dan mendapatkan otorisasi untuk melanjutkan. Ini termasuk
deskripsi program
menyetujui sponsor program, mengkonfirmasikan mandat program
PERSYARATAN SUMBER s2
melalui persetujuan kasus bisnis konseptual, menunjuk dewan program
atau anggota komite, membuat program singkat, meninjau dan APO05.03 Kasus bisnis program Mandat dan ringkasan program APO05.03
memperbarui kasus bisnis, mengembangkan rencana realisasi
manfaat, dan memperoleh persetujuan dari sponsor untuk melanjutkan.
APO07.03 Matriks keterampilan dan Rencana realisasi APO05.03
kompetensi manfaat program APO06.05
BAI05.02 Visi dan tujuan bersama
Kegiatan
!GREEONPROGRAMMESPONSORSHIPANDAPPOINTAPROGRAMMEBOARD KOMITE DENGAN ANGGOTA YANG MEMILIKI KEPENTINGAN STRATEGIS DALAM

PROGRAMMEmemiliki tanggung jawab untuk pengambilan keputusan investasi, akan terpengaruh secara signifikan oleh program dan akan diperlukan untuk memungkinkan
penyampaian perubahan.
#ONFIRMTHEPROGRAMMEMANDATEWITHSPONSORSANDSTAKEHOLDERS !RTICULATETHESTRATEGICOBJECTIVESFORTHEPROGRAMMEPOTENSIALSTRATEGIESFOR
penyampaian, peningkatan dan manfaat yang diharapkan akan dihasilkan, dan bagaimana program tersebut cocok dengan inisiatif lain.
3. Kembangkan kasus bisnis yang terperinci untuk suatu program, jika diperlukan. Libatkan semua pemangku kepentingan utama untuk mengembangkan dan mendokumentasikan
pemahaman yang lengkap tentang hasil perusahaan yang diharapkan, bagaimana hasil tersebut akan diukur, cakupan penuh inisiatif yang diperlukan, risiko yang terlibat, dan dampaknya
terhadap semua aspek perusahaan. Mengidentifikasi dan menilai tindakan alternatif untuk mencapai hasil perusahaan yang diinginkan.
4. Mengembangkan rencana realisasi manfaat yang akan dikelola sepanjang program untuk memastikan bahwa manfaat yang direncanakan selalu memiliki pemilik dan dicapai,
dipertahankan dan dioptimalkan.
5. Mempersiapkan dan menyerahkan untuk persetujuan prinsip kasus bisnis program awal (konseptual), memberikan informasi pengambilan keputusan penting TENTANG TUJUAN
KONTRIBUSI TERHADAP BISNIS TUJUAN SEXPECTEDVALUECREATEDTIMEFRAMESETC
6. Menunjuk manajer yang berdedikasi untuk program, dengan kompetensi dan keterampilan yang sepadan untuk mengelola program secara efektif
dan efisien.

BAI01 Proses Praktek, Input/Output dan Kegiatan (lanjutan)
BAI01.03 Mengelola keterlibatan pemangku kepentingan. Dari Keterangan Keterangan Ke
Kelola keterlibatan pemangku kepentingan untuk memastikan

Rencana keterlibatan pemangku Intern
pertukaran aktif informasi yang akurat, konsisten, dan tepat waktu yang
kepentingan
menjangkau semua pemangku kepentingan terkait. Ini termasuk
merencanakan, mengidentifikasi dan melibatkan pemangku kepentingan Hasil penilaian efektivitas Intern
dan mengelola harapan mereka. pelibatan pemangku kepentingan
Kegiatan
0LANBAGAIMANA PEMEGANG PEMEGANG DI DALAM DAN LUAR ENTERPRISE AKAN DIIDENTIFIKASI ANALISIS TERLIBAT DAN DIKELOLA MELALUI LIFECYCLEOFTHEPROJECT
2. Mengidentifikasi, melibatkan, dan mengelola pemangku kepentingan dengan menetapkan dan mempertahankan tingkat koordinasi, komunikasi, dan penghubung yang tepat untuk memastikan
BAHWA MEREKA TERLIBAT DALAM PROGRAM
3. Mengukur efektivitas pelibatan pemangku kepentingan dan mengambil tindakan perbaikan yang diperlukan.
4. Menganalisis kepentingan dan kebutuhan pemangku kepentingan.
Praktek Manajemen BAI01.04 Masukan Keluaran
Mengembangkan dan memelihara rencana program. Dari Keterangan Keterangan Ke
Merumuskan program untuk meletakkan dasar awal dan

APO05.03 Program yang dipilih dengan Rencana program Intern
memposisikannya untuk pelaksanaan yang sukses dengan
Pencapaian ROI
memformalkan ruang lingkup pekerjaan yang harus diselesaikan dan
mengidentifikasi hasil yang akan memenuhi tujuannya dan memberikan APO07.03 Matriks keterampilan dan Daftar anggaran dan manfaat APO05.06
nilai. Memelihara dan memperbarui rencana program dan kasus bisnis kompetensi program APO06.05
sepanjang siklus hidup ekonomi penuh program, memastikan
APO07.05 Inventarisasi bisnis dan Persyaratan dan peran APO07.05
keselarasan dengan
sumber daya manusia TI sumber daya APO07.06
STRATEGISOBJECTIVESANDREFLECTINGTHECURRENTSTATUSAND
wawasan terbaru yang diperoleh hingga saat ini. BAI05.02 Tim dan peran implementasi
BAI05.03 6ISIONCOMMUNICATIONPLAN
BAI05.04 Kemenangan cepat yang teridentifikasi
BAI07.03 Rencana uji penerimaan

yang disetujui
BAI07.05 Penerimaan dan pelepasan yang

disetujui untuk produksi
Kegiatan
$EFINEANDDOCUMENTTHEPROGRAMMEPLANCOVERINGALLPROYECTTERMASUK APA YANG DIPERLUKANDOBRINGTentang PERUBAHANPERUSAHAAN GAMBAR GAMBARNYA

dan layanan; proses bisnis; keterampilan dan jumlah orang; hubungan dengan pemangku kepentingan, pelanggan, pemasok, dan lainnya; kebutuhan teknologi; dan
RESTRUKTURISASI ORGANISASI DIBUTUHKAN UNTUK MENCAPAI HASIL PROGRAM SEXPECTEDENTERPRISE
3MENENTUKAN SUMBER DAYA YANG DIBUTUHKANDAN KETERAMPILAN MELAKSANAKANPROYEKTERMASUKMANAJEMEN PROYEKDAN TIM PROYEKSAWELLASSUMBER BISNIS 3MENENTUKAN
JADWAL BIAYA PENDANAAN DAN KETERGANTUNGAN INTERFUNGSI BERBAGAI PROYEK 3PECIFYTHBASISFORACQUIRINGDAN MENDAFTARKANSTAF KOMPETEN ANGGOTA DAN ATAU
KONTRAKTORSTOTHEPROJECTS $EFINETHEROLESANDRESPONSIBILITIESFORALLTEAMMEMBERSANDOTHER YANG TERTARIK
!SIGNAKTABILITASJelas DANUNAMBIGUFOREACHPROYEKTERMASUK MENCAPAI KEUNTUNGAN MENGENDALIKAN BIAYA MENGELOLA RISIKO DAN

MENGORDINASI KEGIATAN PROYEK
%NSUREBAHWA ADA KOMUNIKASI EFEKTIFRENCANA PROGRAMDAN LAPORAN KEMAJUAN DIANTARA STALLPROJECTDAN KESELURUHAN PROGRAM %NSURE
bahwa setiap perubahan yang dibuat pada rencana individu tercermin dalam rencana program perusahaan lainnya.
-MENJAGAPROGRAMPLANTOMEPASTITITITISUPTODATEDAN MEREFLEKSALIGNMENTDENGANSTRATEGI SAAT INIGIKOOBJEKTIFKEMAJUAN SEBENARNYAKEMAJUAN MATERIAL

PERUBAHAN HASIL MANFAAT BIAYASANDRISK (AVETHEBUSINESSDRIVETHEOBJECTIVEDPRIORITISETHEWORKTHOUTTOMEJAMINTHEPROGRAMME
DIRANCANGAKANWILLMEETENTERPRISERPERSYARATAN 2EVIEWPROGRESSOFINDIVIDUALPROYEKDANSESUAIKANPROYEKPEMPERLUANTOMEETDIJADWALKAN
rilis milestone.
5PDATEDAN MEMPERTAHANKAN SELURUH PROGRAMME KEHIDUPAN SEKONOMISKASUS BISNIS DAN KEUNTUNGANDAFTARMENDAFTAR UNTUK MENGIDENTIFIKASI DAN MENETAPKAN KUNCI KEUNTUNGAN MUNCUL
dari menjalankan program.
7. Siapkan anggaran program yang mencerminkan biaya siklus hidup ekonomi penuh dan manfaat keuangan dan non-keuangan terkait.

BAB 5
BAI01.05 Luncurkan dan jalankan program. Dari Keterangan Keterangan Ke

Luncurkan dan jalankan program untuk memperoleh dan
BAI05.03 6ISIONKOMUNIKASI Hasil pemantauan APO05.06
mengarahkan sumber daya yang dibutuhkan untuk mencapai tujuan
realisasi manfaat APO06.05
dan manfaat program seperti yang didefinisikan dalam rencana
program. Sesuai dengan kriteria tinjauan gerbang tahap atau rilis, Hasil pemantauan pencapaian APO02.04
persiapkan tinjauan gerbang tahap, iterasi atau rilis untuk melaporkan tujuan program
kemajuan program dan untuk dapat mengajukan kasus pendanaan
Rencana audit program MEA02.06
hingga gerbang tahap atau tinjauan rilis berikutnya.
Kegiatan
0LANRESOURCEANDCOMMISSIONTHENPENCEGAHANPROYEK YANG DIBUTUHKAN UNTUK MENCAPAIPROGRAMMERHASIL BERDASARKANPENDANAANTINJAUANDAN PERSETUJUANSAT

tinjauan gerbang panggung.
2. Menetapkan tahapan proses pengembangan yang disepakati (pos pemeriksaan pengembangan). Di akhir setiap tahap, fasilitasi diskusi formal tentang kriteria yang disetujui dengan
para pemangku kepentingan. Setelah berhasil menyelesaikan tinjauan fungsionalitas, kinerja dan kualitas, dan sebelum menyelesaikan tahap kegiatan, MENDAPATKAN FORMULIR
PERSETUJUAN DAN TANDA TANDA PEMANGKU KEPENTINGAN DAN ESPONSOR PEMILIK BISNIS 3. Melakukan proses realisasi manfaat di seluruh program untuk memastikan
bahwa manfaat yang direncanakan selalu memiliki pemilik dan kemungkinan besar akan dicapai, dipertahankan, dan dioptimalkan. Pantau pengiriman manfaat dan laporkan terhadap
target kinerja di gerbang panggung atau iterasi dan rilis ulasan. Melakukan analisis akar penyebab penyimpangan dari rencana dan mengidentifikasi dan mengatasi tindakan perbaikan
yang diperlukan.
-ANAGESETIAPPROGRAMMEORPROYEKTOMEJADIKAN BAHWA PENGAMBILAN KEPUTUSAN DAN KEGIATAN PENGIRIMAN TERFOKUSKAN PADA NILAI DENGAN MENCAPAI MANFAAT BAGI USAHA
dan tujuan secara konsisten, menangani risiko dan mencapai persyaratan pemangku kepentingan.
3ETUPPROGRAMME PROJECTMANAJEMEN KANTOR SANDPLANAUDITKUalitasTINJAUANTAHAP TAHAP GATEREVIEWSANDREVIEWSOFREALISEDBMANFAAT
BAI01.06 Memantau, mengontrol dan melaporkan Dari Keterangan Keterangan Ke

hasil program.
EDM02.03 Umpan balik tentang kinerja Hasil review kinerja program MEA01.03
Memantau dan mengontrol program (penyerahan solusi) dan
portofolio dan program
NILAI ENTERPRISE OUTCOMEPERFORMANCELAGAINSTPLAN
sepanjang siklus hidup ekonomi penuh dari investasi. APO05.02 Ekspektasi Hasil tinjauan gerbang panggung EDM02.01
Laporkan kinerja ini kepada panitia pengarah program dan pengembalian investasi APO02.04
sponsor. APO05.04
APO05.03 Penilaian kasus
bisnis
APO05.04 Laporan kinerja

portofolio investasi
APO05.06 s#TINDAKAN KOREKTIF
untuk meningkatkan
realisasi manfaat
s"ENEFITRESULTSAND
komunikasi terkait
APO07.05 s2ESOURCEUTILISATION
catatan
s2ESOURCINGSHORTFALL
analisis
BAI05.04 Komunikasi manfaat
BAI06.03 Ubah laporan status

permintaan
BAI07.05 Evaluasi hasil penerimaan

BAI01.06 Kegiatan
-ONITORDAN KONTROL KINERJA KESELURUHAN PROGRAM DAN PROYEK DALAM PROGRAM TERMASUK KONTRIBUSI LEMBUT BISNIS DAN) 4
UNTUKPROYEKDAN LAPORAN TEPAT WAKTU LENGKAP DAN AKURATFASHION 2PELAPORAN MUNGKIN TERMASUK PENJADWALANPENDANAANFUNGSI KEPUASAN PENGGUNAINTERNAL
pengendalian dan penerimaan pertanggungjawaban.
2. Memantau dan mengendalikan kinerja terhadap strategi dan tujuan perusahaan dan TI, dan melaporkan kepada manajemen tentang perubahan perusahaan yang diterapkan, manfaat yang
direalisasikan terhadap rencana realisasi manfaat, dan kecukupan proses realisasi manfaat.
-ONITORANDCONTROL)4LAYANANASET DAN SUMBER DAYADIBUATORDIUBAHASAHASIL PROGRAM .OTEMPLEMENTASIDAN TANGGAL LAYANAN Laporkan kepada manajemen
tentang tingkat kinerja, penyampaian layanan yang berkelanjutan, dan kontribusi terhadap nilai.
4. Kelola kinerja program terhadap kriteria utama (misalnya, ruang lingkup, jadwal, kualitas, realisasi manfaat, biaya, risiko, kecepatan), mengidentifikasi penyimpangan dari
rencana dan mengambil tindakan perbaikan tepat waktu bila diperlukan.
-ONITORINDIVIDUPROJECTPERFORMANCERELATEDTODEPENGIRIMANKEMAMPUAN YANG DIHARAPKANJADWALMANFAATREALISASIBiayaResikoOROTHERMETRIKSTO

mengidentifikasi dampak potensial pada kinerja program. Mengambil tindakan perbaikan tepat waktu bila diperlukan.
6. Memperbarui portofolio TI operasional yang mencerminkan perubahan yang dihasilkan dari program dalam portofolio layanan, aset, atau sumber daya TI yang relevan.
7. Sesuai dengan kriteria tinjauan tahap-gerbang, rilis atau iterasi, lakukan tinjauan untuk melaporkan kemajuan program sehingga manajemen
DAPAT MEMBUATGO NO GOOR PENYESUAIAN KEPUTUSANDAN MENYETUJUI PENDANAAN LEBIH LANJUTUPTOTHEBERIKUTIPAHAM GATERELEASEORITERASI
BAI01.07 Memulai dan memulai proyek dalam suatu program. Dari Keterangan Keterangan Ke
0ROJECTSCOPESTATEMENTS Intern
Mendefinisikan dan mendokumentasikan sifat dan ruang lingkup
PROJECTTOCONFIRMANDDEVELOPAMONGSTAKEHOLDERS 0ROJECTDEFINISI Intern
PEMAHAMAN UMUM LINGKUP PROYEK DAN CARANYA

RELATESTOOTHERPROYEK DENGAN KESELURUHAN)4 DIAKTIFKAN
program investasi. Definisi tersebut harus secara resmi
disetujui oleh program dan PROJECTSPONSORS
Kegiatan
4 BUAT PEMAHAMAN UMUM RUANG LINGKUP PROYEK DIANTARA PEMEGANG PEMANGKU KEPENTINGAN MEMBERIKAN PEMEGANG PEMEGANG PEMEGANG SAKIT PERNYATAAN JELAS TERTULIS DEFINISI TENATUR
RUANG LINGKUP DAN KEUNTUNGAN FEVERYPROJECT
%NSURETHATEACHPROJECTHASONEORMORESPONSORSWOWTHORITYTOMANAGEEXECUTIONOFTHEPROJECT WITHHEOVERALLPROGRAMME
% PASTI KUNCI PEMEGANG PEMEGANG DAN SPONSOR DI DALAM ENTERPRISEAND)4 SETUJU DAN MENERIMA PERSYARATAN UNTUK PROYEK TERMASUK DEFINISI
PENERIMAAN KEBERHASILAN PROYEKKRITERIA DAN INDIKATOR KINERJA UTAMA +0)S%
PASTI DEFINISI PROYEKMENJELASKAN PERSYARATAN UNTUK KOMUNIKASI PROYEKPLANTHATIDENTIFIESINTERNALANDEXTERNALPROJECT

komunikasi.
7PERSETUJUAN PEMEGANG PASANG MEMPERTAHANKANDEFINISI PROYEK DI SELURUH PROYEK MENCERMINKAN PERUBAHAN PERSYARATAN
4OTRACKPElaksanaanOFAPROJECTPUTINPLACEMEKANISMESUCHASREGULERPELAPORANDANSTAGE GATERELEASEORPHASETINJAUANSINATIMELYMANNER
dengan persetujuan yang sesuai.
BAI01.08 Rencanakan proyek. Dari Keterangan Keterangan Ke
Membangun dan memelihara PROJECTPLAN

BAI07.03 Rencana uji penerimaan 0 RENCANA PROYEK Intern
COVERINGBUSINESSAND)4RESOURCESTO terintegrasi yang formal dan disetujui
yang disetujui
PANDUAN PELAKSANAAN DAN KONTROL PROYEK DI SELURUHNYA 0ROJECTBASELINE Intern
LIFEOFTHEPROJECT 4HESCOPEOFPROJECTSHARUS
0ROJECTREPORTS Intern
didefinisikan dengan jelas dan terikat untuk membangun atau
dan komunikasi
meningkatkan kemampuan bisnis.
Kegiatan
$EVELOPAPROJECTPLANTHATMENYEDIAKANINFORMASITOENABLEMANAGEMENTTOCONTROLPROJECTPROGRESSPROGRESSIVELY 4HEPLANSHULDINCLUDEDETAILSOF
PROYEK DILAKSANAKANDANDANPENERIMAANKRITERIADIBUTUHKAN SUMBERDAYA INTERNALANDEKSTERNALDAN TANGGUNG JAWABCLEARWORKBREAKDOWNSTRUKTURDANDWORK
PAKET PERKIRAANSOFRESOURCESDIPERLUKAN FASE RENCANA PELEPASAN KUNCIDEPENDENCIESDANIDENTIFIKASIPATH FAKRITIK
-MENJAGAPROYEKPLANDENPLAN DEPENDENT EG RENCANA RISIKOKUALITAS RENCANAMANFAAT REALISASIPLANTOENSURETH

kemajuan aktual dan perubahan material yang disetujui.
%NSURETADAKOMUNIKASI YANG EFEKTIFRENCANA PROYEKDAN LAPORAN KEMAJUAN DIANTARA SEMUA PROYEKDAN DENGAN KESELURUHAN PROGRAM %NSURETHE
setiap perubahan yang dibuat pada rencana individu tercermin dalam rencana lain.
$ETERMINEHEACTIVITIESINTERDEPENDENCIESDAN DIPERLUKANKOLABORASIDANKOMUNIKASI DIANTARA BERBAGAI PROYEK DALAM PROGRAM
5. Pastikan bahwa setiap pencapaian disertai dengan hasil yang signifikan yang membutuhkan tinjauan dan persetujuan.
%STABLISHAPROJECTBASELINE EG BIAYAJADWALKUALITASCOPEKUALITAS YANG SESUAITINJAUANDISETUJUDANDINCORPORATEDINTOTERINTEGRASI

RENCANA PROYEK

BAB 5
BAI01.09 Mengelola program dan kualitas proyek. Dari Keterangan Keterangan Ke

Mempersiapkan dan melaksanakan rencana, proses, dan
APO11.01 Rencana manajemen kualitas Rencana manajemen kualitas BAI02.04
praktik manajemen mutu, yang selaras dengan SMM yang
BAI03.06
MENJELASKAN PROGRAM DAN PENDEKATAN KUALITAS PROYEK
BAI07.01
dan bagaimana implementasinya. Rencana tersebut harus
secara formal ditinjau dan disetujui oleh semua pihak terkait APO11.03 Persyaratan pelanggan untuk Persyaratan untuk BAI07.03
dan kemudian dimasukkan ke dalam manajemen kualitas verifikasi independen atas
PROGRAMMEANDPROJECTPLANS terintegrasi kiriman
Kegiatan
)DENTIFIKASI JAMINAN TUGAS DAN PRAKTEK YANG DIPERLUKAN UNTUK MENDUKUNG AKREDITASI SISTEM YANG DIMODIFIKASI BARU SELAMA PERENCANAAN
PROGRAM DAN PROYEK dan memasukkannya ke dalam rencana terpadu. Pastikan bahwa tugas memberikan jaminan bahwa kontrol internal dan solusi keamanan memenuhi
persyaratan yang ditentukan.
4OPROVIDEKUALITASJAMINANUNTUK PROYEK DILAKSANAKANIDENTIFYOWNERSHIPANDRESPONSIBILITASTINJAUAN MUTUPROSESKRITERIA SUKSESDAN

metrik kinerja.
3. Tentukan persyaratan untuk validasi independen dan verifikasi kualitas kiriman dalam rencana.
4. Melakukan kegiatan penjaminan mutu dan pengendalian sesuai dengan rencana manajemen mutu dan SMM.
Praktek Manajemen Keluaran
BAI01.10 Mengelola risiko program dan proyek. Dari Masukan Deskripsi Keterangan Ke
Menghilangkan atau meminimalkan risiko spesifik yang terkait
APO12.02 Hasil analisis risiko 0ROJECTRISK Intern
dengan PROGRAM DAN PROYEK MELALUI PROSES SISTEM
rencana pengelolaan
perencanaan, mengidentifikasi, menganalisis, menanggapi, dan
memantau dan mengendalikan area atau peristiwa yang berpotensi BAI02.03 TINDAKAN s2ISKMITIGASI 0ROJECTRISK Intern
menyebabkan perubahan yang tidak diinginkan. Risiko yang dihadapi s2EQUIREMENTRISK hasil penilaian
DENGAN PROGRAM DAN MANAJEMEN PROYEK HARUS daftar
ditetapkan dan dicatat secara terpusat.
Di luar kerangka kerja ERM COBIT 0ROJECT RESIKO REGISTER Intern
Kegiatan
%STABLISHAFORMALPENDEKATAN MANAJEMEN RISIKO PROYEK DISESUAIKAN DENGAN%2-FRAMEWORK %JAMINANPENDEKATANPENDEKATANMENDENTIFIKASI

ANALISISmenanggapi, mengurangi, memantau, dan mengendalikan risiko.
!SIGNTOPERSONEL YANG TERTERAMPIAL SECARA TEPAT

memastikan bahwa ini dimasukkan ke dalam praktik pengembangan solusi. Pertimbangkan untuk mengalokasikan peran ini ke tim independen, terutama jika
OBJECTIVEVIEWPOINTISREQUIREDORAPROJECTISCONSIDEREDCRITICAL
0ERFORMTHEPROJECTRISKASSMENTOFIDENTIFYINGANDQUANTIFYINGRISK LANJUT SELAMA PROYEK -ANAGEANDCOMMUNICATERISK

SESUAI DENGAN STRUKTUR TATA KELOLA PROYEK
2EASSESSPROJECTRISK SECARA BERKALA TERMASUK ATINISIASI FEACHMAJORPROJECTFASEANDASPARTOFMAJORCHANGERPERMINTAAN
5. Identifikasi pemilik untuk tindakan untuk menghindari, menerima atau mengurangi risiko.
-AINTAINANDREVIEWAPROYEKRISIKOREGISTEROFALLPOTENSIALPROJEKRISKANDARISKMITIGASILOGOFALLMASALAH PROYEK DAN RESOLUSINYA !NALYSETHELOG

secara berkala untuk tren dan masalah yang berulang untuk memastikan bahwa akar penyebab diperbaiki.

BAI01.11 Memantau dan mengendalikan proyek. Dari Keterangan Keterangan Ke

Mengukur kinerja proyek terhadap kriteria kinerja proyek
Kriteria kinerja proyek Intern
utama seperti jadwal, kualitas, biaya dan risiko. Identifikasi setiap
penyimpangan dari yang diharapkan. Menilai dampak penyimpangan
pada proyek dan program secara keseluruhan, dan melaporkan Laporan kemajuan proyek Intern
hasilnya kepada pemangku kepentingan utama.
Perubahan yang disetujui Intern
pada proyek
Kegiatan
1. Menetapkan dan menggunakan serangkaian kriteria proyek termasuk, namun tidak terbatas pada, ruang lingkup, jadwal, kualitas, biaya, dan tingkat risiko.
2. Mengukur kinerja proyek terhadap kriteria kinerja proyek utama. Menganalisis penyimpangan dari kriteria kinerja proyek utama yang ditetapkan untuk penyebabnya, dan menilai
efek positif dan negatif pada program dan proyek komponennya.
3. Melaporkan kepada pemangku kepentingan utama yang diidentifikasi kemajuan proyek dalam program, penyimpangan dari kriteria kinerja proyek utama yang ditetapkan, dan
potensi efek positif dan negatif pada program dan proyek komponennya.
4. Pantau perubahan pada program dan tinjau kriteria kinerja proyek utama yang ada untuk menentukan apakah mereka masih mewakili ukuran yang valid dari
kemajuan.
5. Dokumentasikan dan serahkan setiap perubahan yang diperlukan kepada pemangku kepentingan utama program untuk persetujuan mereka sebelum diadopsi. Komunikasikan kriteria yang direvisi
kepada manajer proyek untuk digunakan dalam laporan kinerja masa depan.
6. Merekomendasikan dan memantau tindakan perbaikan, bila diperlukan, sejalan dengan kerangka tata kelola program dan proyek.
7. Dapatkan persetujuan dan tanda tangani pada kiriman yang dihasilkan di setiap iterasi, rilis, atau fase proyek dari manajer dan pengguna yang ditunjuk dalam fungsi bisnis dan TI
yang terpengaruh.
8. Mendasarkan proses persetujuan pada kriteria penerimaan yang didefinisikan dengan jelas yang disepakati oleh pemangku kepentingan utama sebelum pekerjaan dimulai pada fase proyek atau
pengiriman iterasi.
9. Menilai proyek pada gerbang panggung utama yang disepakati, rilis atau iterasi dan membuat keputusan resmi untuk tidak digunakan berdasarkan pertimbangan kritis yang telah ditentukan sebelumnya
kriteria sukses.
10. Menetapkan dan mengoperasikan sistem kontrol perubahan untuk proyek sehingga semua perubahan pada baseline proyek (misalnya, biaya, jadwal, ruang lingkup, kualitas)
ditinjau, disetujui, dan dimasukkan dengan tepat ke dalam rencana proyek terpadu sejalan dengan kerangka kerja tata kelola program dan proyek.
BAI01.12 Mengelola sumber daya proyek dan Dari Keterangan Keterangan Ke

paket pekerjaan.
Persyaratan sumber APO07.05
Mengelola paket pekerjaan proyek dengan menempatkan
daya proyek APO07.06
persyaratan formal pada otorisasi dan penerimaan paket
pekerjaan, dan menugaskan dan mengkoordinasikan bisnis yang Peran dan tanggung Intern
sesuai dan sumber daya TI. jawab proyek
Kesenjangan dalam perencanaan proyek Intern
Kegiatan
1. Identifikasi kebutuhan sumber daya bisnis dan TI untuk proyek dan dengan jelas memetakan peran dan tanggung jawab yang sesuai, dengan eskalasi dan pengambilan keputusan
pihak berwenang setuju dan mengerti.
2. Identifikasi keterampilan yang diperlukan dan persyaratan waktu untuk semua individu yang terlibat dalam fase proyek dalam kaitannya dengan peran yang ditentukan. Staf peran berdasarkan
informasi keterampilan yang tersedia (misalnya, matriks keterampilan TI).
3. Memanfaatkan sumber daya manajemen proyek dan pemimpin tim yang berpengalaman dengan keterampilan yang sesuai dengan ukuran, kompleksitas, dan risiko proyek.
4. Mempertimbangkan dan menetapkan dengan jelas peran dan tanggung jawab pihak-pihak lain yang terlibat, termasuk keuangan, hukum, pengadaan, SDM, audit internal dan
kepatuhan.
5. Jelas mendefinisikan dan menyetujui tanggung jawab untuk pengadaan dan pengelolaan produk dan layanan pihak ketiga, dan mengelola hubungan.
6. Mengidentifikasi dan mengesahkan pelaksanaan pekerjaan sesuai dengan rencana proyek.
7. Identifikasi kesenjangan rencana proyek dan berikan umpan balik kepada manajer proyek untuk diperbaiki.

BAB 5
BAI01.13 Menutup proyek atau iterasi. Dari Keterangan Keterangan Ke

!PERSYARATAN !THHEENDOFEACHPROJECTRELEASEORITERATION
BAI07.08 s2EMEDIALACTIONPLAN Hasil review pasca APO02.04
PEMEGANG PROYEKSANGAT MEMASTIKAN APAKAH
s0OST IMPLEMENTASI implementasi
PROYEKRELEASEORITERASIDIKIRIMHASIL YANG DIRENCANAKAN
laporan ulasan
dan nilai. Identifikasi dan komunikasikan setiap aktivitas luar biasa 0ROJECTLESSONPELAJARI Intern
yang diperlukan untuk mencapai hasil yang direncanakan dari
3TAKEHOLDERPROJECT Intern
PROYEK DAN KEUNTUNGAN PROGRAM
konfirmasi penerimaan
mengidentifikasi dan mendokumentasikan pelajaran yang didapat untuk
digunakan pada PROJECTSRELEASESITERASIDANPROGRAM
Kegiatan
$EFINEANDAPPLYKEYSTEPSFORPROJECTCLOSURETERMASUK TINJAUAN POST IMPLEMENTASISTHATASSESAPAKAHPROYEK TERCAPAI HASIL YANG DIINGINKAN

dan manfaat.
0LANANDJELAKKAN SETELAH IMPLEMENTASITINJAUANSTODETERMINEAPAKAH PROYEKDIBERIKAN MANFAAT YANG DIHARAPKANDAN UNTUK MENINGKATKANPENGELOLAAN PROYEK
dan metodologi proses pengembangan sistem.
)DENTIFYASSIGNCOMMUNICATEDANTRACKANYUNCOMPLETEDAKTIVITAS YANG DIPERLUKAN UNTUK MENCAPAIPROGRAMPROGRAMMEHASILSANDBMANFAAT
2 SECARA TERATUR DAN SETELAH PENYELESAIAN PROYEK KUMPULKAN DARI PESERTA PROYEKPELAJARANPELAJARAN 2PELAJARANPERMINTAANKUNCI AKTIVITAS YANG DILAKUKAN
DIBERIKANMANFAAT DAN NILAI !NALYSETHEDATADAN PEMBUATREKOMENDASIUNTUK MENINGKATKANPROYEK SAAT INIASWELLASMETODE PENGELOLAAN PROYEK
PROYEK MASA
DEPAN /BTAINSTAKEHOLDERPENERIMAANPROJECTDELIVERABLESANDTRANSFEROWNERSHIP
BAI01.14 Menutup program. Dari Keterangan Keterangan Ke

Hapus program dari portofolio investasi aktif bila ada
BAI07.08 s2EMEDIALACTIONPLAN Komunikasi pensiun APO05.05
kesepakatan bahwa nilai yang diinginkan telah tercapai atau
s0OST IMPLEMENTASI program dan akuntabilitas APO07.06
bila jelas tidak akan tercapai dalam kriteria nilai yang ditetapkan
laporan ulasan berkelanjutan
untuk program tersebut.
Kegiatan
1. Membawa program ke penutupan yang tertib, termasuk persetujuan formal, pembubaran organisasi program dan fungsi pendukung, validasi hasil, dan komunikasi pensiun.
2. Meninjau dan mendokumentasikan pelajaran yang didapat. Setelah program dihentikan, hapus dari portofolio investasi aktif.
3. Menerapkan akuntabilitas dan proses untuk memastikan bahwa perusahaan terus mengoptimalkan nilai dari layanan, aset, atau sumber daya. Tambahan
investasi mungkin diperlukan di masa depan untuk memastikan hal ini terjadi.
BAI01 Panduan Terkait
PMBOK
02).#%


BAB 5
Area: Manajemen
BAI02 Kelola Persyaratan Definisi Proses Deskripsi Domain: Membangun, Memperoleh, dan Menerapkan
Mengidentifikasi solusi dan menganalisis persyaratan

sebelum akuisisi atau pembuatan untuk memastikan bahwa mereka sejalan dengan persyaratan strategis perusahaan yang mencakup PROSES BISNIS APLIKASISINFORMASI DATA STRUKTUR
DAN LAYANAN #O ORDINATEWITHAFFECTEDSTAKEHOLDERSTHEREVIEWOFFEASIBLEOPTIONS termasuk biaya dan manfaat relatif dari persyaratan dan analisis risiko, dan persetujuan.

Menciptakan solusi optimal yang layak yang memenuhi kebutuhan perusahaan sambil meminimalkan risiko.

Program dan Layanan S0erCentof)

4ValueDriversMappedToBusinessValueDrivers S. Bumbuan-
07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis BUMNISSINISSIDEKUTASIDUETO) 4Serviceincidents

s0ercentofbusinessStakeHolderSy-FefiFiesing-informy -inging-in-levely-nound-nound-
nouchonSeFionSeFionSeFionSeFionSeFionSeFionSeFionSEnSEnESSIESSIESSIESSIONSIONSIONECY
12 Pemberdayaan dan dukungan proses bisnis dengan mengintegrasikan aplikasi

dan teknologi ke dalam proses bisnis
dikerjakan ulang karena masalah integrasi teknologi
s.UMBEROF)4 ENABLEDBUSINESSPROGRAMMESDELAYEDORIMENJADI biaya
tambahan karena masalah integrasi teknologi
s.UMBEROFAPPLICATIONSORKRITISALINFRASTRUKTUROPERATINGINSILOSAND tidak
terintegrasi
1. Persyaratan fungsional dan teknis bisnis mencerminkan kebutuhan dan harapan perusahaan. s0ERCENTOFREQUIREMENTSREWORKEDDUETOMISALIGNMENTDENGAN PERSYARATAN
kebutuhan dan harapan PERKEMBANGAN PEMEGANG PEMEGANG KEPUASAN TERHADAP
PERSYARATAN
2. Solusi yang diusulkan memenuhi persyaratan fungsional, teknis, dan kepatuhan bisnis. s0ERCENTOFREQUIREMENTSPUASYBYPROPOSEDSOLUTION
3. Risiko yang terkait dengan persyaratan telah diatasi dalam solusi yang diusulkan. s.UMBEROFINCIDENTSNOTIDENTIFIEDASRISK
s0ERCENTOFRISKUNSUKSES SEPENUHNYA DIMITIGASI
2PERSYARATANDAN SOLUSI YANG DIUSULKANSMEETBISNIS TUJUAN KASUS (nilai s0ERCENTOFBUSINESSCASEOBJECTIVESMETBYPROPOSEDSOLUTION

yang diharapkan dan kemungkinan biaya). s0ERCENTOFSTAKEHOLDERSNOTAPPROVINGSOLUTIONINRELATIONTOBUSINESSCASE

Bagan BAI02 RAC
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

BAI02.01
Mendefinisikan dan memelihara
DAN ATAU C CCCRRC CCCC
persyaratan fungsional dan
teknis bisnis.
BAI02.02
Melakukan studi kelayakan RR AR CCCCRC CCCC
dan merumuskan alternatif solusi.
BAI02.03
RR AR R CCRRRR 300
Mengelola risiko persyaratan.
BAI02.04
Dapatkan persetujuan RR AR CCCCCC CCCC
persyaratan dan solusi.

BAI02.01 Mendefinisikan dan memelihara Dari Deskripsi Keterangan Ke
persyaratan fungsional dan teknis bisnis. APO01.06 BAI03.01
s$ATAINTEGRITYPROCEDURESRepositori definisi
Berdasarkan kasus bisnis, mengidentifikasi, memprioritaskan,
s$ATASECURITYANDCONTROL persyaratan BAI03.02
menentukan, dan menyetujui informasi bisnis, persyaratan
pedoman BAI04.01
fungsional, teknis, dan kontrol yang mencakup RUANG LINGKUP
Implementasikan
Dapatkan,
Bangun,
dan
s$ATACLASSIFICATION BAI05.01
PEMAHAMANFALLINITIATIVESREQUIREDTOACHIEVE
pedoman
hasil yang diharapkan dari solusi bisnis berkemampuan
TI yang diusulkan. APO03.01 Prinsip arsitektur Kriteria penerimaan yang BAI03.01
dikonfirmasi dari pemangku kepentingan BAI03.02
BAI04.03
BAI05.01
BAI05.02
APO03.02 s) ARSITEKTUR INFORMASI Catatan permintaan BAI03.09

model perubahan persyaratan
s"ASELINEDOMAIN
deskripsi dan
definisi arsitektur
APO03.05 Panduan
pengembangan solusi
APO10.02 RFI dan RFP pemasok
APO11.03 Kriteria penerimaan

BAB 5
BAI02.01 Kegiatan
1. Menetapkan dan menerapkan definisi persyaratan dan prosedur pemeliharaan dan repositori persyaratan yang sesuai dengan ukurannya
2. Mengungkapkan kebutuhan bisnis dalam hal bagaimana kesenjangan antara kemampuan bisnis saat ini dan yang diinginkan perlu ditangani dan bagaimana peran akan
berinteraksi dengan dan menggunakan solusi.
4 SETELAH ANALISIS PROYEKTELISITAN DAN KONFIRMASI BAHWA SEMUA PERSYARATAN PEMANGKU KEPENTINGAN TERMASUK RELEVANT PENERIMAAN KRITERIA
DIPERTIMBANGKAN DIPERTIMBANGKAN diprioritaskan dan dicatat dengan cara yang dapat dipahami oleh para pemangku kepentingan, sponsor bisnis, dan personel pelaksana teknis,
dengan menyadari bahwa persyaratan dapat berubah dan akan menjadi lebih rinci saat diimplementasikan.
4. Menentukan dan memprioritaskan informasi, persyaratan fungsional dan teknis berdasarkan persyaratan pemangku kepentingan yang dikonfirmasi. Sertakan persyaratan kontrol informasi
dalam proses bisnis, proses otomatis, dan lingkungan TI untuk mengatasi risiko informasi dan untuk mematuhi undang-undang, peraturan, dan kontrak komersial.
6ALIDATESEMUA PERSYARATAN MELALUI PENDEKATANSUCHASPEERTINJAUANMODELVALIDASIOROPERATIONALPROTOTYPING
6. Konfirmasi penerimaan aspek kunci dari persyaratan, termasuk aturan perusahaan, kontrol informasi, kelangsungan bisnis, hukum dan peraturan
kepatuhan, kemampuan audit, ergonomi, pengoperasian dan kegunaan, keamanan, dan dokumentasi pendukung.
4RACKANDCONTROLSCOPERPERSYARATANDAN PERUBAHAN MELALUILIFECYCLEOLUSI SELURUHPROYEKPENGERTIANPENGERTIAN

solusi berkembang.
8. Pertimbangkan persyaratan yang berkaitan dengan kebijakan dan standar perusahaan, arsitektur perusahaan, rencana TI strategis dan taktis, proses bisnis dan TI internal dan outsourcing,
persyaratan keamanan, persyaratan peraturan, kompetensi orang, struktur organisasi, kasus bisnis, dan teknologi yang memungkinkan.
Praktek Manajemen BAI02.02 Masukan Keluaran
Melakukan studi kelayakan dan merumuskan alternatif solusi. Dari Keterangan Keterangan Ke
APO03.05 Panduan pengembangan Laporan studi kelayakan BAI03.02

Lakukan studi kelayakan solusi alternatif potensial, nilai
solusi BAI03.03
kelayakannya dan pilih opsi yang disukai. Jika sesuai, terapkan opsi
yang dipilih sebagai percontohan untuk menentukan kemungkinan APO10.01 Katalog pemasok (Rencana pengembangan APO10.02
perbaikan. LEVELACQUISITION IGH BAI03.01
APO10.02 s$ECISIONRESULTSOF
evaluasi pemasok
s2&)AND2&0EVALUASI
s3UPPLIER2&)PASIR2&0S
APO11.03 Kriteria penerimaan
Kegiatan
1. Menentukan dan melaksanakan studi kelayakan, percontohan atau solusi kerja dasar yang secara jelas dan ringkas menggambarkan solusi alternatif yang akan memuaskan
kebutuhan bisnis dan fungsional. Sertakan evaluasi kelayakan teknologi dan ekonomi mereka.
)DENTIFYPERSYARATANTINDAKANFOLUSI AKUISISIATAU PENGEMBANGAN BERDASARKAN ENTERPRISEARCHITECTUREDAN MENGAMBIL KE DALAM AKUN CAKUPAN DAN ORTIMEAND ATAU
keterbatasan anggaran.
3. Tinjau solusi alternatif dengan semua pemangku kepentingan dan pilih yang paling tepat berdasarkan kriteria kelayakan, termasuk risiko dan biaya.
4RANSLATEPREFERREDCOURSEOFACTIONINTOAHIGH LEVELACQUISITION DEVELOPMENTPLANIDENTIFYINGRESOURCESTOBEUSEDANDSTAGESREQUIRINGA

TIDAK PERGI KEPUTUSAN

BAI02.03 Mengelola risiko persyaratan. Dari Keterangan Keterangan Ke

Mengidentifikasi, mendokumentasikan, memprioritaskan, dan
Daftar risiko persyaratan BAI01.10
memitigasi risiko fungsional, teknis, dan pemrosesan informasi
BAI03.02
yang terkait dengan persyaratan perusahaan dan solusi yang
BAI04.01
diusulkan.
BAI05.01
Tindakan mitigasi risiko BAI01.10

BAI03.02
BAI05.01
Kegiatan
1. Libatkan pemangku kepentingan untuk membuat daftar potensi kualitas, fungsional, dan persyaratan teknis dan risiko yang terkait dengan pemrosesan informasi
(karena, misalnya, kurangnya keterlibatan pengguna, harapan yang tidak realistis, pengembang menambahkan fungsionalitas yang tidak perlu).
2. Menganalisis dan memprioritaskan risiko kebutuhan sesuai dengan probabilitas dan dampaknya. Jika berlaku, tentukan dampak anggaran dan jadwal.
3. Mengidentifikasi cara untuk mengendalikan, menghindari atau mengurangi risiko persyaratan dalam urutan prioritas.
BAI02.04 Dapatkan persetujuan persyaratan dan Dari Keterangan Keterangan Ke

solusi.
BAI01.09 Rencana manajemen mutu Mensponsori persetujuan BAI03.02
Mengkoordinasikan umpan balik dari pemangku kepentingan yang
persyaratan dan solusi BAI03.03
terkena dampak dan, pada tahap kunci yang telah ditentukan
yang diusulkan BAI03.04
sebelumnya, mendapatkan persetujuan sponsor bisnis atau pemilik
produk dan menandatangani persyaratan fungsional dan teknis, studi Ulasan kualitas yang disetujui APO11.02
kelayakan, analisis risiko, dan solusi yang direkomendasikan.
Kegiatan
1. Pastikan bahwa sponsor bisnis atau pemilik produk membuat keputusan akhir sehubungan dengan pilihan solusi, pendekatan akuisisi, dan desain tingkat tinggi, sesuai dengan kasus
bisnis. Koordinasikan umpan balik dari pemangku kepentingan yang terkena dampak dan dapatkan persetujuan dari otoritas bisnis dan teknis yang sesuai (misalnya, pemilik proses
bisnis, arsitek perusahaan, manajer operasi, keamanan) untuk pendekatan yang diusulkan.
/BTAINQUALITYTINJAUAN MELALUIOUTANDATTHHEENDOFEACHKEYPROJECTSTAGEITERATIONORRELEASETOASSESDHERESULTSGAINSTHORIGINALPENERIMAAN
kriteria. Minta sponsor bisnis dan pemangku kepentingan lainnya menandatangani setiap tinjauan kualitas yang berhasil.
.SATU

BAB 5
Area: Manajemen
BAI03 Kelola Identifikasi dan Bangun Solusi Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
%STABLISHANDMAINTAINIDENTIFIKASISOLUSISINLINEWITHENTERPRISERPERSYARATAN PENUTUPDESAIN PENGEMBANGAN SUMBER PENGADAAN DAN BERMITRA DENGAN
PEMASOK VENDOR -ANAGECONFIGURATIONTESTPERSIAPAN PENGUJIAN PERSYARATANMANAJEMEN DAN PEMELIHARAANPROSES BISNISAPLIKASI
STRUKTUR DAN LAYANAN DATAIN INFORMASI

%STABLISHTIMELYDAN EFEKTIF BIAYASOLUSI MAMPUMENDUKUNGENTERPRISESTRATEGICANDOPERATIONALOBJECTIVEAL

1. Desain solusi, termasuk komponen yang relevan, memenuhi kebutuhan perusahaan, s.UMBEROFREWORKEDSOLUTIONDESIGNSDUETOMISALIGNMENT
sejalan dengan standar dan menangani semua risiko yang teridentifikasi. dengan persyaratan
s4IMETAKENTOAPPROVETBAHWADESAINDAPAT DIKIRIMHASMETREQUIREMENT
2. Solusinya sesuai dengan desain, sesuai dengan standar organisasi, dan memiliki kontrol, s.UMBEROFSOLUTIONEXCEPTIONSTODESIGNNOTEDDURINGSTAGETINJAUAN
keamanan, dan kemampuan audit yang tepat.
3. Solusinya memiliki kualitas yang dapat diterima dan telah berhasil diuji. s.UMBEROFERRORSFOUNDDURINGTESTING
s4IMEANDEFFORTTOCOMPLETETES
4. Perubahan persyaratan yang disetujui dimasukkan dengan benar ke dalam s.UMBEROFTRACKEDAPPROVEDCHANGESTHATGENERATENEWERRORS

solusinya.
5. Kegiatan pemeliharaan berhasil menangani bisnis dan s.UMBEROFDEMANDFORMAINTENANCE YANGGUN PUAS

kebutuhan teknologi.

Bagan RAC BAI03
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

BAI03.01
R DAN CC I CAC CCCC
Merancang solusi tingkat tinggi.
BAI03.02
Merancang komponen R DAN CC I CAC CCCC
solusi terperinci.
BAI03.03
R DAN CC I CAC CCCC
Mengembangkan komponen solusi.
BAI03.04
DAN Saya Saya CCA I RRRCCCC
Pengadaan komponen solusi.
BAI03.05
R DAN CC I CAC CCCC
Membangun solusi.
BAI03.06
DAN JIKA CC I CRC CCCC
Melakukan penjaminan mutu.
BAI03.07
R AI CC I RR RRRR
Mempersiapkan pengujian solusi.
BAI03.08
R AI Saya Saya Dalam RR I Saya Saya Saya
Jalankan pengujian solusi.

BAI03.09
Implementasikan
Dapatkan,
Bangun,
dan
Mengelola perubahan DAN JIKA Saya Saya CRRC CCCC
persyaratan.
BAI03.10
R R CC I CAC CCCC
Mempertahankan solusi.
BAI03.11
Mendefinisikan layanan TI dan Saya Saya Saya Saya IRI CCCA I Saya
memelihara portofolio layanan.

BAB 5
BAI03.01 Merancang solusi tingkat tinggi. Dari Keterangan Keterangan Ke

Kembangkan dan dokumentasikan desain tingkat tinggi
APO03.01 Prinsip arsitektur Spesifikasi desain tingkat BAI04.03
dengan menggunakan teknik pengembangan gesit bertahap
tinggi yang disetujui BAI05.01
atau cepat yang disepakati dan sesuai. Pastikan keselarasan APO03.02 Deskripsi domain
dengan strategi TI dan arsitektur perusahaan. Nilai kembali dan dasar dan definisi
perbarui desain ketika masalah signifikan terjadi selama desain arsitektur
terperinci atau fase pembangunan atau saat solusi berkembang.
APO04.03 Analisis penelitian
Pastikan bahwa pemangku kepentingan berpartisipasi aktif dalam
kemungkinan inovasi
desain dan menyetujui setiap versi.
APO04.04 Evaluasi ide inovasi
BAI02.01 s#PENERIMAAN DIKONFIRMASI

kriteria dari
DEFINISI PERSYARATAN s2
gudang
BAI02.02 (Rencana pengembangan

LEVELACQUISITION IGH
Kegiatan
1. Menetapkan spesifikasi desain tingkat tinggi yang menerjemahkan solusi yang diusulkan ke dalam proses bisnis, layanan pendukung, aplikasi,
infrastruktur, dan repositori informasi yang mampu memenuhi persyaratan arsitektur bisnis dan perusahaan.
2. Libatkan pengguna yang memenuhi syarat dan berpengalaman serta spesialis TI dalam proses desain untuk memastikan bahwa desain memberikan solusi yang
secara optimal menggunakan kapabilitas TI yang diusulkan untuk meningkatkan proses bisnis.
#REATEADESIGNTHATISCOMPLIANTWITTHTHHEORGANISATIONSDESIGNSSTANDARDSATALEVELOFDETAILTITUSTEPATUNTUKSOLUSI DAN PENGEMBANGAN

metode dan konsisten dengan strategi bisnis, perusahaan dan TI, arsitektur perusahaan, rencana keamanan, dan undang-undang, peraturan, dan kontrak yang berlaku.
!FTERQUALITYASSURANCEPERSETUJUANKIRIMDESAIN TINGKAT AKHIR TINGGIPANGGOTA PEMEGANG PROYEK DAN ESPONSOR BISNISPROCESSOWNERUNTUK PERSETUJUAN
BERDASARKAN ONCRITERIA YANG SETUJU
BAI03.02 Merancang komponen solusi terperinci. Dari Keterangan Keterangan Ke

Kembangkan, dokumentasikan, dan uraikan desain terperinci
APO03.01 Prinsip arsitektur Spesifikasi desain BAI04.03
secara progresif menggunakan teknik pengembangan gesit atau
terperinci yang disetujui BAI05.01
bertahap yang disepakati dan sesuai, menangani semua komponen
(proses bisnis dan kontrol otomatis dan manual terkait, mendukung APO03.02 s) ARSITEKTUR INFORMASI SLA dan OLA BAI04.02
aplikasi TI, layanan infrastruktur dan produk teknologi, dan PARTNERS model
SUPPLIERS%NSURETHEDETAILEDDESIGN s"ASELINEDOMAIN
deskripsi dan definisi
termasuk SLA dan OLA internal dan eksternal. arsitektur
APO03.05 Panduan pengembangan

solusi
APO04.06 Penilaian menggunakan

pendekatan inovatif
BAI02.01 s#PENERIMAAN DIKONFIRMASI

kriteria dari
gudang
BAI02.02 Laporan studi kelayakan
BAI02.03 TINDAKAN s2ISKMITIGASI

s2EQUIREMENTRISK
daftar
BAI02.04 Mensponsori
persetujuan persyaratan
dan solusi yang diusulkan

BAI03.02 Kegiatan
$ESIGNPROGRESSIVELYTHEBUSINESSPROCESSACTIVITIESANDWORKFLOWPERLU DIPERFORMEDINCONJUNCTIONDENGANNEWAPLICATIONSYSTEMTO
MEMENUHI TUJUAN ENTERPRISETERMASUK DESAINSIGNAKTIVITAS KONTROL MANUAL
2. Merancang langkah-langkah pemrosesan aplikasi, termasuk spesifikasi jenis transaksi dan aturan pemrosesan bisnis, kontrol otomatis, data DEFINISI BISNISOBJEK
PENGGUNAAN KASUS INTERFACES INTERFACEDESAINKENDALA DAN PERSYARATAN LAINNYA misal LISENSI STANDAR SYARAT DAN
INTERNASIONALISASI LOKALISASI
3. Mengklasifikasikan input dan output data menurut standar arsitektur enterprise. Tentukan desain pengumpulan data sumber, dokumentasikan data
input (terlepas dari sumbernya) dan validasi untuk memproses transaksi serta metode untuk validasi. Rancang keluaran yang teridentifikasi, termasuk sumber data.
$ESIGNSYSTEM SOLUTIONINTERFACETERMASUKANYAUTOMATEDDATAEXCHANGE
5. Desain penyimpanan data, lokasi, pengambilan dan pemulihan.
6. Rancang redundansi, pemulihan, dan pencadangan yang sesuai.
7. Merancang antarmuka antara pengguna dan aplikasi sistem sehingga mudah digunakan dan didokumentasikan sendiri.
#ONSIDERTHEIMPACTOFTHESOLUTION SNEEDFORINFRASTRUCTUREPERFORMANCEBEINGSENSITIFTOTHENUMBEROFCOMPUTINGASSETSBANDWIDTHINTENSITY
dan sensitivitas waktu informasi.
9. Secara proaktif mengevaluasi kelemahan desain (misalnya, inkonsistensi, kurangnya kejelasan, potensi kekurangan) sepanjang siklus hidup, mengidentifikasi perbaikan
bila diperlukan.
10. Memberikan kemampuan untuk mengaudit transaksi dan mengidentifikasi akar penyebab kesalahan pemrosesan.
BAI03.03 Mengembangkan komponen solusi. Dari Keterangan Keterangan Ke

Mengembangkan komponen solusi secara progresif
BAI02.02 Laporan studi kelayakan Komponen solusi BAI04.03
sesuai dengan desain detail mengikuti metode
terdokumentasi BAI05.05
pengembangan dan standar dokumentasi, persyaratan jaminan BAI02.04 Mensponsori persetujuan
BAI08.03
kualitas (QA), dan standar persetujuan. Memastikan bahwa semua persyaratan dan solusi
BAI08.04
persyaratan kontrol dalam proses bisnis, aplikasi TI pendukung yang diusulkan
dan layanan infrastruktur, layanan dan teknologi
Kegiatan
1. Mengembangkan proses bisnis, layanan pendukung, aplikasi dan infrastruktur, dan repositori informasi berdasarkan spesifikasi yang disepakati
dan kebutuhan bisnis, fungsional dan teknis.
2. Ketika penyedia pihak ketiga terlibat dalam pengembangan solusi, pastikan bahwa pemeliharaan, dukungan, standar pengembangan, dan lisensi
ditangani dan dipatuhi dalam kewajiban kontrak.
3. Melacak permintaan dan desain perubahan, tinjauan kinerja dan kualitas, memastikan partisipasi aktif dari semua pemangku kepentingan yang terkena dampak.
4. Dokumentasikan semua komponen solusi sesuai dengan standar yang ditentukan dan pertahankan kontrol versi atas semua komponen yang dikembangkan dan
dokumentasi terkait.
5. Menilai dampak penyesuaian dan konfigurasi solusi pada kinerja dan efisiensi solusi yang diperoleh dan pada interoperabilitas dengan aplikasi, sistem operasi, dan infrastruktur lainnya
yang ada. Menyesuaikan proses bisnis yang diperlukan untuk meningkatkan kemampuan aplikasi.
6. Pastikan bahwa tanggung jawab untuk menggunakan komponen infrastruktur dengan keamanan tinggi atau akses terbatas didefinisikan dan dipahami dengan jelas oleh mereka yang
mengembangkan dan mengintegrasikan komponen infrastruktur. Penggunaannya harus dipantau dan dievaluasi.
BAI03.04 Pengadaan komponen solusi. Dari Keterangan Deskripsi Ke

Pengadaan komponen solusi berdasarkan rencana akuisisi sesuai
BAI02.04 Mensponsori Rencana akuisisi yang disetujui APO10.03
dengan persyaratan dan desain detail, prinsip dan standar arsitektur,
persetujuan persyaratan
serta PROCUREMENTANDCONTRACT SOVERALL
dan solusi yang diusulkan
THEENTERPRISE
prosedur, persyaratan QA, dan standar persetujuan. Pembaruan inventaris aset BAI09.01
Pastikan bahwa semua persyaratan hukum dan kontrak diidentifikasi
dan ditangani oleh pemasok.
Kegiatan
1. Buat dan pertahankan rencana untuk akuisisi komponen solusi, dengan mempertimbangkan fleksibilitas di masa mendatang untuk penambahan kapasitas, biaya transisi, risiko, dan
UPGRADEOVERTHELIFETIMEOFTHEPROJECT
2. Meninjau dan menyetujui semua rencana akuisisi, dengan mempertimbangkan risiko, biaya, manfaat, dan kesesuaian teknis dengan standar arsitektur perusahaan.
3. Menilai dan mendokumentasikan sejauh mana solusi yang diperoleh memerlukan adaptasi proses bisnis untuk meningkatkan manfaat dari
solusi yang diperoleh.
4. Ikuti persetujuan yang diperlukan pada poin keputusan utama selama proses pengadaan.
5. Mencatat penerimaan semua infrastruktur dan akuisisi perangkat lunak dalam inventaris aset.

BAB 5
BAI03.05 Membangun solusi. Dari Keterangan Keterangan Ke

Instal dan konfigurasikan solusi dan integrasikan dengan
Komponen solusi terintegrasi BAI06.01
aktivitas proses bisnis. Menerapkan langkah-langkah kontrol,
dan terkonfigurasi
keamanan, dan kemampuan audit selama konfigurasi, dan selama
integrasi perangkat keras dan perangkat lunak infrastruktur, untuk
melindungi sumber daya dan memastikan ketersediaan dan integritas
data. Perbarui katalog layanan untuk mencerminkan solusi baru.
Kegiatan
1. Mengintegrasikan dan mengonfigurasi komponen solusi bisnis dan TI serta penyimpanan informasi sesuai dengan spesifikasi terperinci dan persyaratan kualitas.
Pertimbangkan peran pengguna, pemangku kepentingan bisnis, dan pemilik proses dalam konfigurasi proses bisnis.
2. Lengkapi dan perbarui proses bisnis dan manual operasional, jika perlu, untuk memperhitungkan penyesuaian atau kondisi khusus apa pun yang unik untuk
pelaksanaan.
3. Mempertimbangkan semua persyaratan kontrol informasi yang relevan dalam integrasi dan konfigurasi komponen solusi, termasuk penerapan kontrol bisnis, jika sesuai, ke dalam
kontrol aplikasi otomatis sehingga pemrosesan akurat, lengkap, tepat waktu, resmi, dan dapat diaudit.
4. Menerapkan jejak audit selama konfigurasi dan integrasi perangkat keras dan perangkat lunak infrastruktur untuk melindungi sumber daya dan memastikan ketersediaan
dan integritas.
#ONSIDERWHENTHEEFFECTTOFCUMULATIVEKUSTOMISASIDAN KONFIGURASI TERMASUK PERUBAHAN MINOR YANG TIDAK DITUNJUKKANTOFORMALDESIGN

spesifikasi) memerlukan penilaian ulang tingkat tinggi atas solusi dan fungsionalitas terkait.
6. Pastikan interoperabilitas komponen solusi dengan pengujian pendukung, lebih disukai otomatis.
7. Konfigurasi perangkat lunak aplikasi yang diperoleh untuk memenuhi persyaratan pemrosesan bisnis.
8. Tentukan katalog layanan untuk kelompok sasaran internal dan eksternal yang relevan berdasarkan kebutuhan bisnis.
Input Praktik Manajemen BAI03.06 Melakukan penjaminan mutu (QA). Keluaran
Dari Deskripsi Keterangan Ke

Mengembangkan, sumber daya, dan melaksanakan rencana QA yang selaras dengan SMM untuk mendapatkan kualitas yang
APO11.01 Hasil tinjauan rencana QA APO11.04
ditentukan dalam DEFINISI PERSYARATAN DAN KUALITAS ENTERPRISE
efektivitas SMM
kebijakan dan prosedur. BAI01.09 Rencana manajemen mutu Hasil tinjauan mutu, APO11.04
pengecualian dan koreksi
Kegiatan
1. Tetapkan rencana dan praktik QA termasuk, misalnya, spesifikasi kriteria kualitas, proses validasi dan verifikasi, definisi tentang bagaimana kualitas akan
ditinjau, kualifikasi yang diperlukan dari peninjau kualitas, dan peran dan tanggung jawab untuk pencapaian kualitas.
&REQUENTLYMONITORKUALITAS SOLUSIBERDASARKANPROJECTREQUIREMENTSENTERPRISEPOLICIESADHERENCETOPELOPMENTMETODOLOGIKUALITAS
prosedur manajemen dan kriteria penerimaan.
3. Mempekerjakan inspeksi kode, praktik pengembangan yang didorong oleh pengujian, pengujian otomatis, integrasi berkelanjutan, penelusuran dan pengujian aplikasi yang sesuai.
Melaporkan hasil proses pemantauan dan pengujian kepada tim pengembangan perangkat lunak aplikasi dan manajemen TI.
4. Memantau semua pengecualian kualitas dan menangani semua tindakan korektif. Menyimpan catatan semua ulasan, hasil, pengecualian, dan koreksi. Ulangi kualitas
ulasan, jika sesuai, berdasarkan jumlah pengerjaan ulang dan tindakan korektif.
BAI03.07 Mempersiapkan pengujian solusi. Dari Deskripsi Keterangan Ke

Menetapkan rencana pengujian dan lingkungan yang diperlukan
Rencana pengujian BAI07.03
untuk menguji komponen solusi individual dan terintegrasi, termasuk
proses bisnis dan layanan pendukung, aplikasi, dan infrastruktur. Prosedur tes BAI07.03
Kegiatan
1. Buat rencana dan praktik pengujian terintegrasi yang sepadan dengan lingkungan perusahaan dan rencana teknologi strategis yang akan memungkinkan
pembuatan lingkungan pengujian dan simulasi yang sesuai untuk membantu memverifikasi bahwa solusi akan beroperasi dengan sukses di lingkungan hidup dan memberikan hasil yang
diinginkan dan kontrol yang memadai.
2. Buat lingkungan pengujian yang mendukung cakupan penuh dari solusi dan mencerminkan, sedekat mungkin, kondisi dunia nyata, termasuk bisnis
proses dan prosedur, jangkauan pengguna, jenis transaksi, dan kondisi penerapan.
3. Buat prosedur pengujian yang selaras dengan rencana dan praktik dan memungkinkan evaluasi pengoperasian solusi dalam kondisi dunia nyata. Pastikan bahwa prosedur pengujian
mengevaluasi kecukupan kontrol, berdasarkan standar seluruh perusahaan yang menentukan peran, tanggung jawab, dan kriteria pengujian.

BAI03.08 Jalankan pengujian solusi. Dari Keterangan Keterangan Ke

Jalankan pengujian secara terus menerus selama
APO04.05 !NALYSISOFREJECTED Log hasil tes dan jejak BAI07.03
pengembangan, termasuk pengujian kontrol, sesuai dengan rencana
inisiatif audit
pengujian yang ditetapkan dan praktik pengembangan di lingkungan
yang sesuai. Libatkan pemilik proses bisnis dan pengguna akhir Komunikasi BAI07.03
dalam tim pengujian. Identifikasi, catat, dan prioritaskan kesalahan hasil tes
dan masalah yang diidentifikasi selama pengujian.
Kegiatan
1. Melakukan pengujian solusi dan komponennya sesuai dengan rencana pengujian. Sertakan penguji independen dari tim solusi, dengan pemilik proses bisnis yang representatif
dan pengguna akhir. Pastikan bahwa pengujian dilakukan hanya dalam lingkungan pengembangan dan pengujian.
2. Gunakan instruksi pengujian yang didefinisikan dengan jelas, sebagaimana didefinisikan dalam rencana pengujian, dan pertimbangkan keseimbangan yang tepat antara pengujian skrip otomatis dan
pengujian pengguna interaktif.
3. Melakukan semua pengujian sesuai dengan rencana dan praktik pengujian termasuk integrasi proses bisnis dan komponen solusi TI dan persyaratan non-fungsional (misalnya,
keamanan, interoperabilitas, kegunaan).
4. Identifikasi, catat, dan klasifikasikan (misalnya, kesalahan kecil, signifikan, dan kritis) selama pengujian. Ulangi tes sampai semua kesalahan yang signifikan telah diselesaikan.
Pastikan bahwa jejak audit hasil pengujian dipertahankan.
5. Mencatat hasil pengujian dan mengkomunikasikan hasil pengujian kepada pemangku kepentingan sesuai dengan rencana pengujian.
BAI03.09 Mengelola perubahan persyaratan. Dari Keterangan Keterangan Ke

Lacak status persyaratan individu (termasuk semua
APO04.05 Hasil dan Catatan semua permintaan BAI06.03
REJECTEDREQUIREMENTSTHOUTTHEPROJECTLIFECYCLE
rekomendasi dari inisiatif perubahan yang disetujui dan diterapkan
dan mengelola persetujuan perubahan persyaratan.
proof-of-concept
BAI02.01 Catatan permintaan

perubahan persyaratan
Kegiatan
1. Menilai dampak dari semua permintaan perubahan solusi pada pengembangan solusi, kasus bisnis asli dan anggaran, serta mengkategorikan dan
memprioritaskan mereka sesuai.
2. Melacak perubahan persyaratan, memungkinkan semua pemangku kepentingan untuk memantau, meninjau, dan menyetujui perubahan. Pastikan bahwa hasil perubahan
PROSES SEPENUHNYA DIPAHAMI DAN DISETUJUI OLEH SEMUA PEMEGANG PEMEGANG DAN ESPONSOR BISNIS PEMILIK PROSES !PLYCHANGER PERMINTAAN
MEMPERTAHANKAN INTEGRITASFINTEGRASIDAN KONFIGURASI KOMPONEN SOLUSI !SSESSMAJORSOLUSI

TINGKATKAN DAN KLASIFIKASIITA SESUAI DENGAN TUJUAN YANG DISETUJUI KRITERIA SUCHASENTERPRISERPERSYARATAN BERDASARKAN HASIL ANALISIS FAN RISIKO
TERLIBAT SUCHASIMPACTONSISTEM DAN PROSESOR KEAMANAN MANFAAT BIAYA JUSTIFIKASI DAN PERSYARATAN LAINNYA
BAI03.10 Mempertahankan solusi. Dari Keterangan Keterangan Ke

Mengembangkan dan melaksanakan rencana untuk
Rencana pemeliharaan APO08.05
pemeliharaan komponen solusi dan infrastruktur. Sertakan
tinjauan berkala terhadap kebutuhan bisnis dan persyaratan Komponen solusi BAI05.05
operasional. yang diperbarui dan
dokumentasi terkait
Kegiatan
1. Mengembangkan dan melaksanakan rencana pemeliharaan komponen solusi yang mencakup tinjauan berkala terhadap kebutuhan bisnis dan operasional
persyaratan seperti manajemen patch, strategi peningkatan, risiko, penilaian kerentanan, dan persyaratan keamanan.
!SSESSTHESIGNIFICANCEOFAPROPOSEDMAINTENANCEACTIVITYONCURRENTSOLUTIONDESIGNFUNGSI DAN PROSES ORBUSINESS #ONSIDERRISKUSER

dampak dan ketersediaan sumber daya. Pastikan bahwa pemilik proses bisnis memahami efek dari menetapkan perubahan sebagai pemeliharaan.
)PERISTIWA PERUBAHAN UTAMA, SOLUSI YANG ADA, HASIL PERUBAHAN SIGNIFIKAN, DESAIN DAN ORFUNGSIONALITAS DAN PROSES OR BISNIS, ikuti proses
pengembangan yang digunakan untuk sistem baru. Untuk pembaruan pemeliharaan, gunakan proses manajemen perubahan.
4. Pastikan bahwa pola dan volume aktivitas pemeliharaan dianalisis secara berkala untuk mengetahui tren abnormal yang menunjukkan kualitas yang mendasari atau
MASALAH KINERJA MANFAAT BIAYA JORUPGRADEORREPLACEMENTINLIEUOFMAINTENANCE 5. Untuk pembaruan pemeliharaan, gunakan proses manajemen
perubahan untuk mengontrol semua permintaan pemeliharaan.

BAB 5
BAI03.11 Mendefinisikan layanan TI dan memelihara Dari Keterangan Keterangan Ke

portofolio layanan.
EDM04.01 Prinsip-prinsip panduan Definisi layanan APO05.01
Tentukan dan setujui layanan TI baru atau yang diubah dan opsi
untuk alokasi sumber daya DSS01.03
tingkat layanan. Dokumentasikan definisi layanan baru atau yang diubah
dan kemampuan
dan opsi tingkat layanan untuk diperbarui dalam portofolio layanan.
APO02.04 s6ALUEBENEFITATEMENT Portofolio layanan yang diperbarui APO05.05
untuk lingkungan sasaran
s'APSANDCHANGES
diperlukan untuk
mewujudkan kemampuan target
APO08.05 Definisi potensi

PROYEK PENINGKATAN
BAI10.02 Dasar konfigurasi
BAI10.03 Perubahan yang disetujui

pada baseline
BAI10.04 Laporan status konfigurasi
Kegiatan
1. Mengusulkan definisi layanan TI yang baru atau yang diubah untuk memastikan bahwa layanan tersebut sesuai dengan tujuannya. Dokumentasikan definisi layanan yang diusulkan dalam
daftar portofolio layanan yang akan dikembangkan.
2. Mengusulkan opsi tingkat layanan baru atau yang diubah (waktu layanan, kepuasan pengguna, ketersediaan, kinerja, kapasitas, keamanan, kontinuitas, kepatuhan, dan
usability) untuk memastikan bahwa layanan TI layak untuk digunakan. Dokumentasikan opsi layanan yang diusulkan dalam portofolio.
3. Antarmuka dengan manajemen hubungan bisnis dan manajemen portofolio untuk menyetujui definisi layanan yang diusulkan dan opsi tingkat layanan.
4. Jika perubahan layanan termasuk dalam otoritas persetujuan yang disepakati, buat layanan TI baru atau yang diubah atau opsi tingkat layanan. Jika tidak, lulus layanan
perubahan ke manajemen portofolio untuk tinjauan investasi.
.SATU


BAB 5
Area: Manajemen
BAI04 Kelola Ketersediaan dan Kapasitas Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
Seimbangkan kebutuhan saat ini dan masa depan untuk ketersediaan, kinerja, dan kapasitas dengan penyediaan layanan yang hemat biaya. Termasuk penilaian kemampuan saat ini,
peramalan kebutuhan masa depan berdasarkan kebutuhan bisnis, analisis dampak bisnis, dan penilaian risiko untuk merencanakan dan mengimplementasikan tindakan untuk memenuhi
persyaratan yang diidentifikasi.

Menjaga ketersediaan layanan, manajemen sumber daya yang efisien, dan optimalisasi kinerja sistem melalui prediksi kinerja masa depan dan kebutuhan kapasitas.

dan kemampuan
14 Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan s,KEMBANGKAN BISNIS KEPUASAN PENGGUNA DENGAN KUALITAS DAN KETEPATAN WAKTU
(atau ketersediaan) informasi manajemen

s.UMBEROFBUSINESSPROCESSINSIDENDISEBUTKAN OLEH TANPA KETERSEDIAAN
informasi
1. Rencana ketersediaan mengantisipasi ekspektasi bisnis kritis s.UMBEROFUNPLANNEDCAPACITYPERFORMANCEORAVAILABILITYUPGRADES

persyaratan kapasitas.
2. Kapasitas, kinerja dan ketersediaan memenuhi persyaratan. s.UMBEROFTRANSACTIONPEAKSHERETARGETPERFORMANCEISEXCEEDED

s.UMBEROFAVAILABILITYINSIDENT
s.UMBEROFEEVENTSHEREKAPASITASTELAH MELEBIHI BATAS RENCANA
3. Masalah ketersediaan, kinerja dan kapasitas diidentifikasi dan diselesaikan s.UMBERANDPERCENTAGEOFUNRESOLVEDAVAILABILITYPERFORMANCEDAN

secara rutin. masalah kapasitas

Bagan BAI04 RAC
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

BAI04.01
Menilai ketersediaan, kinerja
Saya C CA RCC
dan kapasitas saat ini dan
membuat baseline.
BAI04.02
SEBUAH C CR RCC
Menilai dampak bisnis.
BAI04.03
Rencanakan persyaratan layanan baru R C CA RCC
atau yang diubah.
BAI04.04
Memantau dan meninjau ketersediaan R C CA RCC
dan kapasitas.
BAI04.05
Selidiki dan atasi masalah DAN Saya RCA RI Saya
ketersediaan, kinerja dan

kapasitas.

Implementasikan
Dapatkan,
Bangun,
dan
BAI04.01 Menilai ketersediaan, kinerja dan kapasitas Dari Keterangan Keterangan Ke

saat ini dan membuat baseline.
BAI02.01 Repositori definisi Basis ketersediaan, Intern
Menilai ketersediaan, kinerja, dan kapasitas layanan
persyaratan kinerja, dan kapasitas
ANDRESOURCESTOENSURETHCOST CUSTIABLECAPACITY
dan kinerja tersedia untuk mendukung BAI02.03 Daftar risiko persyaratan Evaluasi terhadap SLA APO09.05
kebutuhan bisnis dan memenuhi SLA. Buat dasar
ketersediaan, kinerja, dan kapasitas untuk
perbandingan di masa mendatang.
Kegiatan
1. Pertimbangkan hal berikut (saat ini dan yang diperkirakan) dalam penilaian ketersediaan, kinerja, dan kapasitas layanan dan sumber daya: pelanggan
PERSYARATANPRIORITAS USAHA TUJUAN USAHA ANGGARAN DAMPAK SUMBER DAMPAK PEMANFAATAN)4 KEMAMPUAN DAN TREN INDUSTRI
2. Pantau kinerja aktual dan penggunaan kapasitas terhadap ambang batas yang ditentukan, jika perlu didukung dengan perangkat lunak otomatis.
3. Mengidentifikasi dan menindaklanjuti semua insiden yang disebabkan oleh kinerja atau kapasitas yang tidak memadai.
4. Secara berkala mengevaluasi tingkat kinerja saat ini untuk semua tingkat pemrosesan (permintaan bisnis, kapasitas layanan, dan kapasitas sumber daya) dengan membandingkan
mereka terhadap tren dan SLA, dengan mempertimbangkan perubahan lingkungan.

BAB 5
BAI04.02 Menilai dampak bisnis. Dari Keterangan Keterangan Ke

Mengidentifikasi layanan penting bagi perusahaan,
BAI03.02 SLA internal dan eksternal Skenario ketersediaan, kinerja, dan Intern
memetakan layanan dan sumber daya ke proses bisnis, dan
kapasitas
mengidentifikasi ketergantungan bisnis. Pastikan bahwa
dampak dari sumber daya yang tidak tersedia sepenuhnya disetujui Penilaian dampak bisnis Intern
dan diterima oleh pelanggan. Pastikan bahwa, untuk fungsi bisnis ketersediaan, kinerja, dan
yang vital, persyaratan ketersediaan SLA dapat dipenuhi. kapasitas
Kegiatan
1. Identifikasi hanya solusi atau layanan yang penting dalam proses ketersediaan dan manajemen kapasitas.
2. Memetakan solusi atau layanan yang dipilih ke aplikasi dan infrastruktur (TI dan fasilitas) di mana mereka bergantung untuk memungkinkan fokus pada sumber daya penting
untuk perencanaan ketersediaan.
3. Kumpulkan data tentang pola ketersediaan dari log kegagalan masa lalu dan pemantauan kinerja. Gunakan alat pemodelan yang membantu memprediksi kegagalan berdasarkan masa lalu
tren penggunaan dan harapan manajemen lingkungan baru atau kondisi pengguna.
4. Buat skenario berdasarkan data yang dikumpulkan, yang menjelaskan situasi ketersediaan di masa depan untuk menggambarkan berbagai tingkat kapasitas potensial yang
diperlukan untuk MENCAPAI TUJUAN KINERJA $ETERMINETHELIKELIHOODTHEAVAILABILITYPERFORMANCEOBJECTIVEWILLNOTBEACHIEVEDBASEDONTHESCENARIOS
6. Tentukan dampak skenario pada ukuran kinerja bisnis (misalnya, pendapatan, laba, layanan pelanggan). Libatkan lini bisnis,
fungsional (terutama keuangan) dan pemimpin daerah untuk memahami evaluasi dampak mereka.
7. Pastikan bahwa pemilik proses bisnis sepenuhnya memahami dan menyetujui hasil analisis ini. Dari pemilik bisnis, dapatkan daftar
skenario risiko yang tidak dapat diterima yang memerlukan respons untuk mengurangi risiko ke tingkat yang dapat diterima.
BAI04.03 Rencanakan persyaratan layanan Dari Keterangan Deskripsi Ke

baru atau yang diubah.
BAI02.01 Kriteria penerimaan yang Peningkatan yang diprioritaskan APO02.02
Merencanakan dan memprioritaskan implikasi ketersediaan, kinerja,
dikonfirmasi dari pemangku kepentingan
dan kapasitas dari perubahan kebutuhan bisnis dan persyaratan
layanan. BAI03.01 Spesifikasi desain tingkat Rencana kinerja dan AP02.02
tinggi yang disetujui kapasitas
BAI03.02 Spesifikasi desain terperinci

yang disetujui
BAI03.03 Komponen solusi

terdokumentasi
Kegiatan
1. Meninjau implikasi ketersediaan dan kapasitas dari analisis tren layanan.
2. Mengidentifikasi implikasi ketersediaan dan kapasitas dari perubahan kebutuhan bisnis dan peluang peningkatan. Gunakan teknik pemodelan untuk memvalidasi ketersediaan,
kinerja, dan rencana kapasitas.
0RIORTISENDIPERBAIKIPERBAIKANDANCREATECOST CUSTIFIABLETERSEDIA DAN KAPASITAS RENCANA
!SESUAIKAN KINERJA DAN RENCANA KAPASITASDAN3,!BERDASARKANREALISTISBARUDIUSULKAN DAN ATAU DIPROYEKSIPROSES BISNISDAN LAYANAN
PENDUKUNGAplikasi dan perubahan infrastruktur serta tinjauan kinerja aktual dan penggunaan kapasitas, termasuk tingkat beban kerja.
5. Memastikan bahwa manajemen melakukan perbandingan permintaan aktual pada sumber daya dengan penawaran dan permintaan yang diperkirakan untuk mengevaluasi peramalan saat ini
teknik dan melakukan perbaikan jika memungkinkan.

BAI04.04 Memantau dan meninjau ketersediaan Dari Keterangan Keterangan Ke

dan kapasitas.
Ketersediaan, kinerja, dan MEA01.03
Memantau, mengukur, menganalisis, melaporkan dan meninjau
laporan
ketersediaan, kinerja, dan kapasitas. Mengidentifikasi penyimpangan
dari baseline yang ditetapkan. Tinjau laporan analisis tren yang
mengidentifikasi masalah dan varians yang signifikan, memulai
tindakan jika diperlukan, dan memastikan bahwa semua masalah
yang belum terselesaikan ditindaklanjuti.
Kegiatan
1. Menetapkan proses pengumpulan data untuk menyediakan manajemen dengan pemantauan dan pelaporan informasi untuk ketersediaan, kinerja, dan kapasitas beban kerja
semua sumber daya terkait informasi.
2. Memberikan pelaporan hasil secara teratur dalam bentuk yang sesuai untuk ditinjau oleh TI dan manajemen bisnis dan komunikasi untuk
manajemen perusahaan.
3. Mengintegrasikan kegiatan pemantauan dan pelaporan dalam kegiatan manajemen kapasitas berulang (pemantauan, analisis, penyetelan, dan implementasi).
4. Memberikan laporan kapasitas untuk proses penganggaran.
BAI04.05 Selidiki dan atasi masalah ketersediaan, Dari Keterangan Keterangan Ke

kinerja dan kapasitas.
Kesenjangan kinerja Intern
Atasi penyimpangan dengan menyelidiki dan menyelesaikan
dan kapasitas
masalah ketersediaan, kinerja, dan kapasitas yang teridentifikasi.
Tindakan korektif AP02.02
Prosedur eskalasi darurat DSS02.02
Kegiatan
1. Dapatkan panduan dari manual produk vendor untuk memastikan tingkat ketersediaan kinerja yang sesuai untuk pemrosesan puncak dan beban kerja.
2. Mengidentifikasi kesenjangan kinerja dan kapasitas berdasarkan pemantauan kinerja saat ini dan yang diperkirakan. Gunakan ketersediaan, kontinuitas, dan pemulihan yang diketahui
spesifikasi untuk mengklasifikasikan sumber daya dan memungkinkan prioritas.
3. Tentukan tindakan korektif (misalnya, mengalihkan beban kerja, memprioritaskan tugas atau menambahkan sumber daya, ketika masalah kinerja dan kapasitas diidentifikasi).
4. Mengintegrasikan tindakan korektif yang diperlukan ke dalam proses perencanaan dan manajemen perubahan yang tepat.
5. Tetapkan prosedur eskalasi untuk penyelesaian cepat dalam kasus kapasitas darurat dan masalah kinerja.
Panduan Terkait BAI04
)3/ )%# 6.3 Kontinuitas layanan dan manajemen ketersediaan
)4),6 8. Manajemen Ketersediaan

BAB 5
Area: Manajemen
BAI05 Kelola Pengaktifan Perubahan Organisasi Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
Maksimalkan kemungkinan keberhasilan penerapan perubahan organisasi di seluruh perusahaan yang berkelanjutan dengan cepat dan dengan risiko yang lebih rendah, yang mencakup siklus hidup
lengkap perubahan dan semua pemangku kepentingan yang terpengaruh dalam bisnis dan TI.

Mempersiapkan dan berkomitmen pemangku kepentingan untuk perubahan bisnis dan mengurangi risiko kegagalan.
dan layanan
s,PERKEMBANGAN BISNIS PENGGUNAPENGERTIAN BAGAIMANA TEKNOLOGISOLUSI
mendukung proses mereka
s3TINGKAT KEPUASAN BISNIS PENGGUNA DENGAN PELATIHAN DAN PANDUAN PENGGUNA
s.06MENUNJUKKAN KEPUASAN BISNIS TINGKAT KUALITAS DAN KEGUNAANSOF

solusi teknologi
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, dan s.UMBEROFPROGRAMMES PROJECTSONTIMEANDWITHINBUDGET
memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUAS DENGAN PROGRAMKUALITAS PROYEK
s.UMBEROFPROGRAMMENETINGINGSIGNIFIKANKEKERJAAN DUETTOKUALITASCACAT
s#OSTOFAPPLICATIONMAINTENANCEVS KESELURUHAN)4BIAYA

kemungkinan inovasi
dan ide-ide
1. Keinginan pemangku kepentingan untuk perubahan telah dipahami. s,EVELOFSTAKEHOLDERDESIREFORTHECHE

s,EVELOFSENIORMANAJEMEN KETERLIBATAN
2. Tim pelaksana kompeten dan mampu mendorong perubahan. s3PERINGKAT KEPUASANSOFIMPLEMENTASITEAMBYPEMIMPUK YANG TERPENGARUH
s.UMBEROFIDENTIFIEDSKILLSORKAPASITAS MASALAH
3. Perubahan yang diinginkan dipahami dan diterima oleh pemangku kepentingan. s3TAKEHOLDERFEEDBACKONLEVELOFUNDERSTAND
s.UMBEROFQUERIES DITERIMA
4. Para pemain peran diberdayakan untuk menyampaikan perubahan. s0ERCENTOFROLEPLAYERS DENGAN OTORITAS YANG TEPAT DITUNJUKKAN
s2OLEPLAYERFEEDBACKONLEVELOFEMPOWERMENT
5. Pemain peran diaktifkan untuk mengoperasikan, menggunakan, dan memelihara perubahan. s0ERCENTOFROLEPLAYERSLATIHAN
s2OLEPLAYERSELF PENILAIAN KEMAMPUAN FRELEVANT
s,KEMBANGKAN KEPUASANPEMAIN FROLEPLAYEROPERASI MENGGUNAKAN DAN MEMELIHARA
perubahan
6. Perubahan itu tertanam dan berkelanjutan. s0ERCENTOFUSERSPELATIHAN TEPATUNTUK PERUBAHAN

s, PERKEMBANGAN KEPUASAN PENGGUNA DENGAN OPSI PERUBAHAN

Bagan RACI BAI05
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

BAI05.01
RACCRCRR C RCCRCCCCCCC
Membangun keinginan untuk berubah.
BAI05.02
Membentuk tim Saya Saya CACCRR CCCR RCCCCCC
implementasi yang efektif.
BAI05.03
ACCR IRI Saya Saya Saya Saya IR IIIIIIIII
Mengkomunikasikan visi yang diinginkan.
BAI05.04
Memberdayakan pemain peran dan RACCRC RCCRCCC 300

mengidentifikasi kemenangan jangka pendek.
BAI05.05
MOBIL R RCRR RRRR
Mengaktifkan operasi dan penggunaan.
BAI05.06
RRRAR R RCRR RRRR
Menyematkan pendekatan baru.
BAI05.07
RRRR R RCRR RRRR
Mempertahankan perubahan.

Implementasikan
Dapatkan,
Bangun,
dan
BAI05.01 Membangun keinginan untuk berubah. Dari Keterangan Keterangan Ke

Memahami ruang lingkup dan dampak dari
APO11.03 Hasil kualitas Komunikasi penggerak Intern
CHANGEANDSTAKEHOLDERREADINNESSTO yang dibayangkan
layanan, termasuk perubahan
mengubah. Identifikasi tindakan untuk memotivasi pemangku
umpan balik pelanggan
kepentingan untuk menerima dan ingin membuat perubahan berhasil.
BAI02.01 s#PENERIMAAN DIKONFIRMASI Komunikasi dari Intern
kriteria dari manajemen eksekutif
pemangku kepentingan yang berkomitmen untuk berubah
gudang
BAI02.03 TINDAKAN s2ISKMITIGASI
s2EQUIREMENTRISK
daftar
BAI03.01 Spesifikasi desain
tingkat tinggi yang disetujui
BAI03.02 Spesifikasi desain

terperinci yang disetujui
Kegiatan
1. Menilai ruang lingkup dan dampak perubahan yang dibayangkan, berbagai pemangku kepentingan yang terpengaruh, sifat dampak dan keterlibatan
diperlukan dari setiap kelompok pemangku kepentingan, serta kesiapan dan kemampuan saat ini untuk mengadopsi perubahan.
2. Mengidentifikasi, memanfaatkan, dan mengomunikasikan poin nyeri saat ini, peristiwa negatif, risiko, ketidakpuasan pelanggan, dan masalah bisnis, serta awal
manfaat, peluang dan penghargaan di masa depan, dan keunggulan pesaing, sebagai landasan untuk membangun keinginan untuk berubah.
3. Keluarkan komunikasi kunci dari komite eksekutif atau CEO untuk menunjukkan komitmen terhadap perubahan.
4. Memberikan kepemimpinan yang terlihat dari manajemen senior untuk menetapkan arah dan menyelaraskan, memotivasi dan menginspirasi pemangku kepentingan untuk menginginkan perubahan.

BAB 5
BAI05.02 Membentuk tim implementasi yang efektif. Dari Keterangan Keterangan Ke

Membentuk tim implementasi yang efektif dengan
BAI02.01 Kriteria penerimaan yang Tim dan peran implementasi BAI01.04
mengumpulkan anggota yang tepat, menciptakan kepercayaan,
dikonfirmasi dari pemangku kepentingan
dan menetapkan tujuan bersama dan ukuran efektivitas.
Visi dan tujuan bersama BAI01.02
Kegiatan
1. Identifikasi dan kumpulkan tim implementasi inti yang efektif yang mencakup anggota yang tepat dari bisnis dan TI dengan kapasitas untuk menghabiskan jumlah waktu yang diperlukan
dan menyumbangkan pengetahuan dan keahlian, pengalaman, kredibilitas, dan otoritas. Pertimbangkan untuk menyertakan pihak eksternal seperti konsultan untuk memberikan
pandangan independen atau untuk mengatasi kesenjangan keterampilan. Identifikasi agen perubahan potensial dalam berbagai bagian perusahaan dengan siapa tim inti dapat bekerja
untuk mendukung visi dan membuat perubahan kaskade ke bawah.
2. Ciptakan kepercayaan dalam tim implementasi inti melalui acara yang direncanakan dengan cermat dengan komunikasi yang efektif dan kegiatan bersama.
3. Mengembangkan visi dan tujuan bersama yang mendukung tujuan perusahaan.
BAI05.03 Mengkomunikasikan visi yang diinginkan. Dari Keterangan Keterangan Ke

Komunikasikan visi yang diinginkan untuk perubahan dalam
Rencana komunikasi visi BAI01.04
bahasa mereka yang terpengaruh olehnya. Komunikasi harus
dilakukan oleh manajemen senior dan mencakup alasan, dan Komunikasi visi BAI01.05
manfaat, perubahan, dampak dari tidak melakukan perubahan;
serta visi, road map dan keterlibatan berbagai pemangku
kepentingan.
Kegiatan
1. Kembangkan rencana komunikasi visi untuk menangani kelompok audiens inti, profil perilaku dan persyaratan informasi mereka, komunikasi
saluran, dan prinsip.
2. Menyampaikan komunikasi pada tingkat yang sesuai dari perusahaan sesuai dengan rencana.
3. Perkuat komunikasi melalui berbagai forum dan pengulangan.
4. Periksa pemahaman visi yang diinginkan dan tanggapi setiap masalah yang disorot oleh staf.
5. Membuat semua tingkat kepemimpinan bertanggung jawab untuk menunjukkan visi.
BAI05.04 Memberdayakan pemain peran dan mengidentifikasi Dari Keterangan Keterangan Ke

kemenangan jangka pendek.
Di luar struktur organisasi COBIT Enterprise Tujuan kinerja SDM yang APO07.04
Berdayakan mereka yang memiliki peran implementasi dengan
selaras
memastikan bahwa akuntabilitas diberikan, memberikan pelatihan,
dan menyelaraskan struktur organisasi dan proses SDM. Identifikasi Kemenangan cepat yang teridentifikasi BAI01.04
dan komunikasikan kemenangan jangka pendek yang dapat
Komunikasi manfaat BAI01.06
direalisasikan dan penting dari perspektif pemberdayaan perubahan.
Kegiatan
1. Identifikasi struktur organisasi yang sesuai dengan visi; jika diperlukan, buat perubahan untuk memastikan keselarasan.
2. Rencanakan kebutuhan staf pelatihan untuk mengembangkan keterampilan dan sikap yang tepat agar merasa diberdayakan.
3. Menyelaraskan proses SDM dan sistem pengukuran (misalnya, evaluasi kinerja, keputusan kompensasi, keputusan promosi, perekrutan dan perekrutan)
untuk mendukung visi.
4. Identifikasi dan kelola pemimpin yang terus menolak perubahan yang diperlukan.
5. Identifikasi, prioritaskan, dan berikan peluang untuk kemenangan cepat. Ini bisa terkait dengan area kesulitan yang diketahui saat ini atau faktor eksternal yang perlu:
segera diatasi.
6. Leverage memberikan kemenangan cepat dengan mengomunikasikan manfaat kepada mereka yang terkena dampak untuk menunjukkan bahwa visi berada di jalur yang benar. Sempurnakan visi, pertahankan pemimpin
papan dan membangun momentum.

BAI05.05 Mengaktifkan operasi dan penggunaan. Dari Keterangan Keterangan Ke

Merencanakan dan melaksanakan semua aspek teknis,
BAI03.03 Komponen solusi Rencana operasi dan penggunaan APO08.04
operasional dan penggunaan sehingga semua pihak yang
terdokumentasi BAI08.04
terlibat dalam lingkungan negara di masa depan dapat
DSS01.01
menjalankan tanggung jawabnya.
DSS01.02
DSS06.02
BAI03.10 Komponen solusi Ukuran dan hasil APO08.05

yang diperbarui dan keberhasilan BAI07.07
dokumentasi terkait BAI07.08
MEA01.03
Kegiatan
1. Kembangkan rencana untuk pengoperasian dan penggunaan perubahan yang mengomunikasikan dan dibangun di atas realisasi kemenangan cepat, membahas aspek perilaku dan
budaya dari transisi yang lebih luas, dan meningkatkan dukungan dan keterlibatan. Pastikan bahwa rencana tersebut mencakup pandangan holistik dari perubahan dan menyediakan
dokumentasi (misalnya, prosedur), pendampingan, pelatihan, pembinaan, transfer pengetahuan, dukungan pasca-go-live yang ditingkatkan dan dukungan berkelanjutan.
2. Melaksanakan rencana operasi dan penggunaan. Tetapkan dan lacak ukuran keberhasilan, termasuk ukuran bisnis keras dan ukuran persepsi yang menunjukkan bagaimana perasaan
orang tentang perubahan, mengambil tindakan perbaikan seperlunya.
BAI05.06 Menyematkan pendekatan baru. Dari Keterangan Keterangan Ke

Tanamkan pendekatan baru dengan melacak perubahan yang
Hasil audit kepatuhan MEA02.02
diterapkan, menilai efektivitas rencana operasi dan penggunaan,
MEA03.03
dan mempertahankan kesadaran yang berkelanjutan melalui
komunikasi reguler. Mengambil tindakan korektif yang sesuai, Komunikasi Intern
yang mungkin termasuk menegakkan kepatuhan. kesadaran
Hasil tinjauan APO07.04

kinerja SDM
Kegiatan
1. Rayakan keberhasilan dan terapkan program penghargaan dan pengakuan untuk memperkuat perubahan.
2. Gunakan sistem pengukuran kinerja untuk mengidentifikasi akar penyebab rendahnya adopsi dan mengambil tindakan korektif.
3. Membuat pemilik proses bertanggung jawab atas operasi normal sehari-hari.
4. Lakukan audit kepatuhan untuk mengidentifikasi akar penyebab rendahnya adopsi dan merekomendasikan tindakan korektif.
5. Memberikan kesadaran berkelanjutan melalui komunikasi reguler tentang perubahan dan adopsinya.
BAI05.07 Mempertahankan perubahan. Dari Keterangan Deskripsi Ke

Mempertahankan perubahan melalui pelatihan staf baru yang
Rencana transfer pengetahuan BAI08.03
efektif, kampanye komunikasi berkelanjutan, komitmen manajemen
BAI08.04
puncak yang berkelanjutan, pemantauan adopsi, dan berbagi
pelajaran yang diperoleh di seluruh perusahaan. Komunikasi Intern
MANAJEMEN S
komitmen
Ulasan penggunaan operasional MEA02.02
Kegiatan
1. Memberikan pendampingan, pelatihan, pembinaan dan transfer pengetahuan kepada staf baru untuk mempertahankan perubahan.
2. Mempertahankan dan memperkuat perubahan melalui komunikasi reguler yang menunjukkan komitmen manajemen puncak.
3. Melakukan tinjauan berkala terhadap operasi dan penggunaan perubahan dan mengidentifikasi perbaikan.
4. Menangkap pelajaran yang dipetik terkait dengan implementasi perubahan dan berbagi pengetahuan di seluruh perusahaan.
Kotter, John; Perubahan Terkemuka, Harvard Business School Press, AS, 1996

BAB 5
Area: Manajemen
BAI06 Kelola Perubahan Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
Kelola semua perubahan secara terkendali, termasuk perubahan standar dan pemeliharaan darurat yang berkaitan dengan proses bisnis, aplikasi, dan infrastruktur. Ini termasuk
standar dan prosedur perubahan, penilaian dampak, prioritas dan otorisasi, perubahan darurat, pelacakan, pelaporan, penutupan dan dokumentasi.

Memungkinkan pengiriman perubahan yang cepat dan andal ke bisnis dan mitigasi risiko dampak negatif terhadap stabilitas atau integritas lingkungan yang
berubah.
04 Risiko bisnis terkait TI yang dikelola s0ERCENTOFCRITICALBUSINESSPROCESSES)4SERVICESAND)4 DIAKTIFKAN

program bisnis yang dicakup oleh penilaian risiko
tugas beresiko

Dapatkan,
Implemen
Bangun,
dan 10 Keamanan informasi, infrastruktur pemrosesan dan aplikasi

s.UMBEROFSECURITYINSIDENTMENGEMBULKAN KERUGIAN KEUANGAN GANGGUAN USAHA
atau rasa malu publik
s.UMBEROF)4LAYANAN TANPA PERSYARATAN KEAMANAN
s4IMETOGRANTHANGEANDREMOVEAKSES HAK ISTIMEWADIBANDINGKAN
s&REKUENSI PENILAIAN KEAMANAN TERGANTUNGSTANDAR STANDAR
dan pedoman
1. Perubahan resmi dilakukan tepat waktu dan dengan s!MOUNTOFREWORK DISEBABKAN OLEH PERUBAHAN GAGAL
kesalahan minimal. s2EDUCEDTIMEANDUPFORTDIBUTUHKAN UNTUK MEMBUAT PERUBAHAN
s.UMBERANDAGEOFBACKLOGGEDCHANGEREQUESTS
2. Penilaian dampak mengungkapkan efek perubahan pada semua s0ERCENTOFUNSUKSESPERUBAHANSDUETOIMPAKAKSESIMPAK YANG CUKUP
komponen yang terpengaruh.
3. Semua perubahan darurat ditinjau dan disahkan setelah perubahan. s0ERCENTOFTOTALCHANGESTHATAREEMERGENCYFIXES

s.UMBEROFEMERGENCYCHANGESTIDAK DIOTORISASI SETELAH PERUBAHAN
4. Pemangku kepentingan utama tetap mendapat informasi tentang semua aspek perubahan. s3TAKEHOLDERFEEDBACKRATINGSONKEPUASAN DENGAN KOMUNIKASI
Bagan BAI06 RACI
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI06.01
Mengevaluasi, memprioritaskan dan DENGAN C C CCRCRRCRC

mengotorisasi permintaan perubahan.
BAI06.02
AI C CCR I RR IC
Kelola perubahan darurat.
BAI06.03
CR C A RR R
Melacak dan melaporkan status perubahan.
BAI06.04
Tutup dan DENGAN R C CCRCRR Saya Saya
dokumentasikan perubahan.

BAI06.01 Mengevaluasi, memprioritaskan dan Dari Keterangan Keterangan Ke

mengotorisasi permintaan perubahan.
BAI03.05 Komponen solusi terintegrasi Penilaian dampak Intern
Mengevaluasi semua permintaan perubahan untuk menentukan
dan terkonfigurasi
dampak pada proses bisnis dan layanan TI, dan untuk menilai apakah
perubahan akan berdampak buruk pada lingkungan operasional dan DSS02.03 Permintaan layanan yang disetujui Permintaan perubahan BAI07.01
menimbulkan risiko yang tidak dapat diterima. Pastikan bahwa yang disetujui
perubahan dicatat, diprioritaskan, dikategorikan, dinilai, disahkan, DSS03.03 Solusi yang diusulkan untuk
direncanakan dan dijadwalkan. kesalahan yang diketahui
DSS03.05 Solusi berkelanjutan yang Ubah rencana dan jadwal BAI07.01

teridentifikasi
DSS04.08 Perubahan yang disetujui

pada rencana
DSS06.01 Analisis dan rekomendasi akar

penyebab
Kegiatan
1. Gunakan permintaan perubahan formal untuk memungkinkan pemilik proses bisnis dan TI untuk meminta perubahan pada proses bisnis, infrastruktur, sistem atau
aplikasi. Pastikan bahwa semua perubahan tersebut hanya muncul melalui proses manajemen permintaan perubahan.
#ATEGORISEALLREQUESTEDPERUBAHAN misal: PROSES BISNISINFRASTRUKTURSISTEM OPERASINETWORKSAPPLICATIONSYSTEMDIBELI PAKET

perangkat lunak aplikasi) dan menghubungkan item konfigurasi yang terpengaruh.
3. Prioritaskan semua perubahan yang diminta berdasarkan persyaratan bisnis dan teknis, sumber daya yang diperlukan, dan alasan hukum, peraturan, dan kontraktual untuk
perubahan yang diminta.
4. Merencanakan dan mengevaluasi semua permintaan secara terstruktur. Sertakan analisis dampak pada proses bisnis, infrastruktur, sistem dan aplikasi,
rencana kelangsungan bisnis (BCP) dan penyedia layanan untuk memastikan bahwa semua komponen yang terpengaruh telah diidentifikasi. Menilai kemungkinan dampak negatif
terhadap lingkungan operasional dan risiko penerapan perubahan. Pertimbangkan implikasi keamanan, hukum, kontrak dan kepatuhan dari perubahan yang diminta. Pertimbangkan juga
saling ketergantungan di antara perubahan. Libatkan pemilik proses bisnis dalam proses penilaian, sebagaimana mestinya.
5. Secara resmi menyetujui setiap perubahan oleh pemilik proses bisnis, manajer layanan, dan pemangku kepentingan teknis TI, sebagaimana mestinya. Perubahan yang
berisiko rendah dan relatif sering harus disetujui sebelumnya sebagai perubahan standar.
6. Rencanakan dan jadwalkan semua perubahan yang disetujui.
7. Pertimbangkan dampak penyedia layanan yang dikontrak (misalnya, pemrosesan bisnis yang dialihdayakan, infrastruktur, pengembangan aplikasi, dan layanan bersama) pada
proses manajemen perubahan, termasuk integrasi proses manajemen perubahan organisasi dengan proses manajemen perubahan penyedia layanan dan dampaknya terhadap
kontrak syarat dan SLA.
Deskripsi Input Praktik Manajemen Keluaran
BAI06.02 Kelola perubahan darurat. Dari Keterangan Ke

Kelola perubahan darurat dengan hati-hati untuk meminimalkan
Tinjauan pasca- Intern
insiden lebih lanjut dan pastikan perubahan dikendalikan
implementasi perubahan
DANTAKESPLACESECURELY 6ERIFYTHATEMERGENCYCHANGES
darurat
dinilai dan disahkan secara tepat setelah perubahan.
Kegiatan
1. Pastikan bahwa ada prosedur terdokumentasi untuk menyatakan, menilai, memberikan persetujuan awal, mengesahkan setelah perubahan dan mencatat perubahan darurat.
6 ERIFYTHALLEMERGENCYACCESSARRANGEMENTFORCHANGESARETEBAK DIRESTORASIDOKUMENTASIDAN DIBATALKAN SETELAH PERUBAHAN TELAH DITERAPKAN
3. Memantau semua perubahan darurat, dan melakukan tinjauan pasca implementasi yang melibatkan semua pihak terkait. Tinjauan harus mempertimbangkan dan memulai tindakan
korektif berdasarkan akar penyebab seperti masalah dengan proses bisnis, pengembangan dan pemeliharaan sistem aplikasi, lingkungan pengembangan dan pengujian, dokumentasi
dan manual, dan integritas data.
4. Tentukan apa yang dimaksud dengan perubahan darurat.

BAB 5
BAI06.03 Melacak dan melaporkan status perubahan. Dari Keterangan Keterangan Ke

Memelihara sistem pelacakan dan pelaporan untuk mendokumentasikan
BAI03.09 Catatan semua permintaan Ubah laporan status BAI01.06
PERUBAHAN YANG DITOLAKCOMMUNICATETHESTATUSOFAPPROVED
perubahan yang disetujui dan diterapkanpermintaan BAI10.03
dan perubahan dalam proses, dan perubahan lengkap.
Pastikan bahwa perubahan yang disetujui diimplementasikan sesuai
rencana.
Kegiatan
#ATEGORISECHANGEREQUESTSINTHETRACKINGPROCESS EG REJECTEDAPPROVEDBUTNOTYETINITIATEDDISETUJUDANDINPROCESSANDCLOSED
2. Terapkan laporan status perubahan dengan metrik kinerja untuk memungkinkan tinjauan manajemen dan pemantauan status rinci perubahan dan keadaan keseluruhan (misalnya, analisis
usia permintaan perubahan). Pastikan bahwa laporan status membentuk jejak audit sehingga perubahan selanjutnya dapat dilacak dari awal hingga disposisi akhirnya.
3. Pantau perubahan terbuka untuk memastikan bahwa semua perubahan yang disetujui ditutup tepat waktu, tergantung pada prioritas.
4. Memelihara sistem pelacakan dan pelaporan untuk semua permintaan perubahan.
BAI06.04 Tutup dan dokumentasikan perubahannya. Dari Keterangan Keterangan Ke

Setiap kali perubahan diterapkan, perbarui sesuai
Ubah dokumentasi Intern
dengan solusi dan dokumentasi pengguna serta prosedur yang
terpengaruh oleh perubahan tersebut.
Kegiatan
1. Menyertakan perubahan pada dokumentasi (misalnya, prosedur operasional bisnis dan TI, kelangsungan bisnis, dan dokumentasi pemulihan bencana,
informasi konfigurasi, dokumentasi aplikasi, layar bantuan, dan materi pelatihan) dalam prosedur manajemen perubahan sebagai bagian integral dari perubahan.
2. Tentukan periode penyimpanan yang tepat untuk dokumentasi perubahan dan sistem sebelum dan sesudah perubahan dan dokumentasi pengguna.
3UBJECTDOKUMENTASITOTHESAMELEVELOFREVIEWASTPERUBAHAN SEBENARNYA
)3/ )%# 9.2 Manajemen perubahan
)4),6 13. Manajemen Perubahan


BAB 5
Area: Manajemen
BAI07 Kelola Perubahan Penerimaan dan Proses Transisi Deskripsi Domain: Membangun, Memperoleh, dan Menerapkan
Secara formal menerima dan membuat solusi baru operasional,

termasuk perencanaan implementasi, konversi sistem dan data, pengujian penerimaan, komunikasi, persiapan rilis, promosi ke produksi proses bisnis baru atau yang diubah
dan layanan TI, dukungan produksi awal, dan review pasca implementasi.

Menerapkan solusi dengan aman dan sesuai dengan harapan dan hasil yang disepakati.
dan layanan
s,KEMBANGKAN BISNIS PENGGUNAPENGERTIAN BAGAIMANA

TEKNOLOGISOLUSI mendukung proses mereka s3TINGKAT KEPUASAN BISNIS
PENGGUNA DENGAN PELATIHAN DAN PANDUAN PENGGUNA s.06MENUNJUKKAN
KEPUASAN BISNISTINGKAT KUALITAS DAN KEGUNAAN SOF solusi teknologi
12 Pemberdayaan dan dukungan proses bisnis dengan mengintegrasikan aplikasi s.UMBEROFBUSINESSPROCESSINGINSIDENTSCAUSEDBYTECHNOLOGY

dan teknologi ke dalam proses bisnis kesalahan integrasi
dikerjakan ulang karena masalah integrasi teknologi s.UMBEROF)4
AKTIFKANDBUSINESSPROGRAMMESDELAYEDORINCURRINGKAN biaya
tambahan karena ILOSORUCITIKALIKASI teknologi
1. Pengujian penerimaan memenuhi persetujuan pemangku kepentingan dan mempertimbangkan s0ERCENTOFSTAKEHOLDERSPUAS DENGAN KELENGKAPAN proses
semua aspek implementasi dan rencana konversi. pengujian
2. Rilis siap untuk dipromosikan ke produksi dengan pemangku kepentingan s.UMBERANDPERCENTOFRELEASESNOTREADYFORRELEASEONJADWAL

kesiapan dan dukungan.
3. Rilis berhasil dipromosikan, stabil dan memenuhi harapan. s.UMBERORPERCENTOFRELEASESTHATFAILTOSTABILISEWITHINAN

periode yang dapat diterima s0ERCENTOFRELEASESCAUSINGDOWNTIME
4. Pelajaran yang dipetik berkontribusi pada rilis mendatang. s.UMBERANDPERCENTOFROOTCAUSEANALYSESCOMPLETED

Bagan RACI BAI07
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

BAI07.01
Menetapkan CR DAN R CCRCRC RRRC
rencana implementasi.
BAI07.02
Merencanakan proses bisnis, CR DAN R CCRCRC RRRC
sistem dan konversi data.
BAI07.03
AR RI CI RR I RRC
Rencanakan tes penerimaan.
BAI07.04
AR RI Saya RR Saya RRC
Membangun lingkungan pengujian.
BAI07.05
AR RI Saya RR Saya RRC
Lakukan tes penerimaan.
BAI07.06
Mempromosikan produksi R AI saya RR RI Saya Saya
dan mengelola rilis.

BAI07.07
Memberikan R AI saya RR RI Saya Saya
dukungan produksi awal.
BAI07.08
Implementasikan
Dapatkan,
Bangun,
dan
Melakukan review pasca R AI CC I RR RC I Saya
implementasi.
BAI07.01 Menetapkan rencana implementasi. Dari Keterangan Keterangan Ke

Menetapkan rencana implementasi yang mencakup
BAI01.09 Rencana manajemen mutu Implementasi yang disetujui Intern
konversi sistem dan data, kriteria pengujian
rencana
penerimaan, komunikasi, pelatihan, persiapan rilis,
promosi ke produksi, dukungan produksi awal, BAI06.01 s#HANGELAN Proses fallback dan Intern
AFALLBACK BACKOUTPLANANDAPOST IMPLEMENTASI dan jadwal pemulihan implementasi
tinjauan. Mendapatkan persetujuan dari pihak terkait. s!PERMINTAAN YANG DISETUJUI
untuk perubahan
Kegiatan
1. Buat rencana implementasi yang mencerminkan strategi implementasi secara luas, urutan langkah implementasi, kebutuhan sumber daya,
saling ketergantungan, kriteria penerimaan manajemen dari implementasi produksi, persyaratan verifikasi instalasi, strategi transisi untuk
dukungan produksi, dan pembaruan BCP.
2. Konfirmasikan bahwa semua rencana implementasi disetujui oleh pemangku kepentingan teknis dan bisnis dan ditinjau oleh audit internal, sebagaimana mestinya.
3. Mendapatkan komitmen dari penyedia solusi eksternal untuk keterlibatan mereka dalam setiap langkah implementasi.
4. Identifikasi dan dokumentasikan proses mundur dan pemulihan.
5. Secara formal meninjau risiko teknis dan bisnis yang terkait dengan implementasi dan memastikan bahwa risiko utama dipertimbangkan dan ditangani dalam
proses perencanaan.

BAB 5
BAI07.02 Merencanakan proses bisnis, sistem dan Dari Keterangan Keterangan Ke

konversi data.
Rencana migrasi DSS06.02
Mempersiapkan proses bisnis, data layanan TI dan
INFRASTRUKTURMIGRASIASPARTOFTHEENTERPRISE S
metode pengembangan, termasuk jejak audit dan rencana
pemulihan jika migrasi gagal.
Kegiatan
1. Tentukan proses bisnis, TI: data layanan dan rencana migrasi infrastruktur. Pertimbangkan, misalnya, perangkat keras, jaringan, sistem operasi, perangkat lunak, data transaksi, file induk,
cadangan dan arsip, antarmuka dengan sistem lain (baik internal maupun eksternal), persyaratan kepatuhan yang mungkin, prosedur bisnis, dan dokumentasi sistem, dalam pengembangan
rencana.
#ONSIDERALLNECESSARYAPENYESUAIANSTOPROSEDURTERMASUK REVISIDROLESANDRESPONSIBILITIESANDCONTROLPROSEDUR DALAMPROSES BISNIS

rencana konversi.
3. Memasukkan dalam metode rencana konversi data untuk mengumpulkan, mengubah dan memverifikasi data yang akan dikonversi, dan mengidentifikasi dan menyelesaikan kesalahan apa pun
ditemukan selama konversi. Sertakan membandingkan data asli dan yang dikonversi untuk kelengkapan dan integritas.
4. Konfirmasikan bahwa rencana konversi data tidak memerlukan perubahan nilai data kecuali benar-benar diperlukan untuk alasan bisnis. Perubahan dokumen
dibuat untuk nilai data, dan mendapatkan persetujuan dari pemilik data proses bisnis.
5. Latih dan uji konversi sebelum mencoba konversi langsung.
6. Mempertimbangkan risiko masalah konversi, perencanaan kesinambungan bisnis, dan prosedur fallback dalam proses bisnis, data dan infrastruktur RENCANA MIGRASI DIMANA
MANAJEMEN RISIKO KEBUTUHAN BISNISOR KEPATUHAN REGULASI PERSYARATAN
7. Mengkoordinasikan dan memverifikasi waktu dan kelengkapan peralihan konversi sehingga ada transisi yang lancar dan berkelanjutan tanpa kehilangan transaksi
data. Bila perlu, jika tidak ada alternatif lain, bekukan operasi langsung.
8. Rencanakan untuk mencadangkan semua sistem dan data yang diambil pada titik sebelum konversi. Pertahankan jejak audit untuk memungkinkan konversi dilacak kembali dan memastikan
bahwa ada rencana pemulihan yang mencakup rollback migrasi dan fallback ke pemrosesan sebelumnya jika migrasi gagal.
9. Rencanakan penyimpanan data cadangan dan arsip agar sesuai dengan kebutuhan bisnis dan persyaratan peraturan atau kepatuhan.
BAI07.03 Rencanakan tes penerimaan. Dari Keterangan Keterangan Ke
Tetapkan rencana pengujian berdasarkan standar perusahaan yang

BAI01.09 Persyaratan untuk Rencana uji penerimaan BAI01.04
mendefinisikan peran, tanggung jawab, dan kriteria masuk dan keluar.
verifikasi independen atas yang disetujui BAI01.08
Pastikan bahwa rencana tersebut disetujui oleh pihak terkait.
kiriman
BAI03.07 PROSEDUR s4EST

s4ESTPLAN
BAI03.08 s4ESTRESULT
komunikasi
s4ESTRESULTLOGSAND
jejak audit
Kegiatan
$EVELOPANDDOCUMENTTHETESTPLANWHICHALIGNSTOTHEPROGRAMMEANDPROJECTQUALITYPLANANDRELEVANTORGANISATIONALSTANDAR #OMMUNICATEAND
berkonsultasi dengan pemilik proses bisnis yang sesuai dan pemangku kepentingan TI.
%NSURETHETESTPLAN MEREFLECTSANSESSMENTOFRISKFROMTHEPROJECTDBAHWA SEMUAFUNGSI DAN PERSYARATAN TEKNIS DIUJI "ASEDON

penilaian risiko kegagalan sistem dan kesalahan pada implementasi, rencana tersebut harus mencakup persyaratan untuk kinerja, stres, kegunaan, uji coba dan pengujian keamanan.
3. Pastikan bahwa rencana pengujian membahas kebutuhan potensial untuk akreditasi internal atau eksternal dari hasil proses pengujian (misalnya, keuangan
persyaratan peraturan).
4. Pastikan bahwa rencana pengujian mengidentifikasi sumber daya yang diperlukan untuk melaksanakan pengujian dan mengevaluasi hasilnya. Contoh sumber daya termasuk konstruksi
lingkungan pengujian dan penggunaan waktu staf untuk kelompok pengujian, termasuk potensi penggantian sementara staf pengujian di lingkungan produksi atau pengembangan. Pastikan
bahwa pemangku kepentingan dikonsultasikan tentang implikasi sumber daya dari rencana pengujian.
5. Pastikan bahwa rencana pengujian mengidentifikasi fase pengujian yang sesuai dengan persyaratan operasional dan lingkungan. Contoh fase pengujian tersebut meliputi pengujian unit,
pengujian sistem, pengujian integrasi, pengujian penerimaan pengguna, pengujian kinerja, pengujian stres, pengujian konversi data, pengujian keamanan, pengujian kesiapan operasional,
serta pengujian cadangan dan pemulihan.
6. Konfirmasikan bahwa rencana pengujian mempertimbangkan persiapan pengujian (termasuk persiapan lokasi), persyaratan pelatihan, pemasangan, atau pembaruan pengujian yang
ditentukan. PERENCANAAN LINGKUNGAN MELAKUKAN DOKUMENTING RETAININGTESTCASESERRORANDMASALAH PENANGANANKOREKSIANDESKALASIDAN
PERSETUJUAN FORMAL 7. Pastikan bahwa rencana pengujian menetapkan kriteria yang jelas untuk mengukur keberhasilan melakukan setiap fase pengujian . Konsultasikan dengan pemilik
proses bisnis dan pemangku kepentingan TI dalam menentukan kriteria keberhasilan. Tentukan bahwa rencana tersebut menetapkan prosedur remediasi ketika kriteria keberhasilan tidak
terpenuhi (misalnya, dalam kasus kegagalan yang signifikan dalam fase pengujian, rencana tersebut memberikan panduan tentang apakah akan melanjutkan ke fase berikutnya, menghentikan
pengujian atau menunda implementasi).
8. Konfirmasikan bahwa semua rencana pengujian disetujui oleh pemangku kepentingan, termasuk pemilik proses bisnis dan TI, sebagaimana mestinya. Contoh pemangku kepentingan tersebut adalah
PENGEMBANGAN APLIKASIMANAJEMEN PROYEKMANAGERDANPROSES BISNISENDUSER

BAI07.04 Membangun lingkungan pengujian. Dari Keterangan Keterangan Ke

Tetapkan dan buat perwakilan lingkungan pengujian yang
Data percobaan Intern
aman dari proses bisnis yang direncanakan dan lingkungan
operasi TI, kinerja dan kapasitas, keamanan, kontrol internal,
praktik operasional, kualitas data dan persyaratan privasi, serta
beban kerja.
Kegiatan
1. Buat database data uji yang mewakili lingkungan produksi. Sanitasi data yang digunakan dalam lingkungan pengujian dari lingkungan produksi sesuai dengan kebutuhan bisnis dan
standar organisasi (misalnya, pertimbangkan apakah kepatuhan atau persyaratan peraturan mewajibkan penggunaan data yang disanitasi).
2. Lindungi data dan hasil pengujian yang sensitif terhadap pengungkapan, termasuk akses, penyimpanan, penyimpanan, dan penghancuran. Pertimbangkan efek interaksi
sistem organisasi dengan pihak ketiga.
3. Menerapkan proses untuk memungkinkan penyimpanan atau pembuangan hasil pengujian, media, dan dokumentasi terkait lainnya dengan benar untuk memungkinkan peninjauan yang memadai
dan analisis selanjutnya seperti yang dipersyaratkan oleh rencana pengujian. Pertimbangkan pengaruh persyaratan peraturan atau kepatuhan.
4. Pastikan bahwa lingkungan pengujian mewakili lanskap bisnis dan operasional masa depan, termasuk prosedur dan peran proses bisnis, kemungkinan tekanan beban kerja,
sistem operasi, perangkat lunak aplikasi yang diperlukan, sistem manajemen basis data, dan infrastruktur jaringan dan komputasi yang ditemukan di lingkungan produksi.
5. Pastikan bahwa lingkungan pengujian aman dan tidak dapat berinteraksi dengan sistem produksi.
BAI07.05 Melakukan tes penerimaan. Dari Keterangan Keterangan Ke

Uji perubahan secara independen sesuai dengan rencana
Log hasil tes Intern
pengujian yang ditentukan sebelum migrasi ke lingkungan
operasional langsung. Evaluasi hasil penerimaan BAI01.06
Penerimaan dan pelepasan BAI01.04

yang disetujui untuk produksi
Kegiatan
1. Tinjau log kategori kesalahan yang ditemukan dalam proses pengujian oleh tim pengembangan, verifikasi bahwa semua kesalahan telah diperbaiki atau
diterima secara formal.
2. Mengevaluasi penerimaan akhir terhadap kriteria keberhasilan dan menginterpretasikan hasil pengujian penerimaan akhir. Sajikan dalam bentuk yang
dimengerti oleh pemilik proses bisnis dan TI sehingga tinjauan dan evaluasi yang terinformasi dapat dilakukan.
3. Menyetujui penerimaan dengan persetujuan formal oleh pemilik proses bisnis, pihak ketiga (sebagaimana sesuai) dan pemangku kepentingan TI sebelum
promosi ke produksi.
4. Pastikan bahwa pengujian perubahan dilakukan sesuai dengan rencana pengujian. Pastikan bahwa pengujian dirancang dan dilakukan oleh kelompok pengujian yang independen dari
tim pengembangan. Pertimbangkan sejauh mana pemilik proses bisnis dan pengguna akhir terlibat dalam grup uji. Pastikan bahwa pengujian dilakukan hanya dalam lingkungan
pengujian.
5. Pastikan bahwa tes dan hasil yang diantisipasi sesuai dengan kriteria keberhasilan yang ditetapkan dalam rencana pengujian.
6. Pertimbangkan untuk menggunakan instruksi pengujian (skrip) yang jelas untuk mengimplementasikan pengujian. Pastikan bahwa kelompok pengujian independen menilai dan menyetujui setiap skrip
pengujian untuk memastikan bahwa skrip tersebut memenuhi kriteria keberhasilan pengujian yang ditetapkan dalam rencana pengujian. Pertimbangkan untuk menggunakan skrip untuk memverifikasi
sejauh mana sistem memenuhi persyaratan keamanan.
7. Pertimbangkan keseimbangan yang tepat antara pengujian skrip otomatis dan pengujian pengguna interaktif.
8. Melakukan pengujian keamanan sesuai dengan rencana pengujian. Mengukur sejauh mana kelemahan atau celah keamanan. Pertimbangkan efek insiden keamanan sejak konstruksi
rencana pengujian. Pertimbangkan efeknya pada akses dan kontrol batas.
9. Melakukan pengujian kinerja sistem dan aplikasi sesuai dengan rencana pengujian. Pertimbangkan berbagai metrik kinerja (misalnya, waktu respons pengguna akhir dan kinerja
pembaruan sistem manajemen basis data).
10. Saat melakukan pengujian, pastikan bahwa elemen fallback dan rollback dari rencana pengujian telah diatasi.
11. Mengidentifikasi, mencatat dan mengklasifikasikan (misalnya, minor, signifikan, mission-critical) kesalahan selama pengujian. Pastikan bahwa jejak audit dari hasil pengujian tersedia.
Mengkomunikasikan hasil pengujian kepada pemangku kepentingan sesuai dengan rencana pengujian untuk memfasilitasi perbaikan bug dan peningkatan kualitas lebih lanjut.

BAB 5
BAI07.06 Mempromosikan produksi dan Dari Keterangan Keterangan Ke

mengelola rilis.
Rencana rilis BAI10.01
Mempromosikan solusi yang diterima untuk bisnis dan
operasi. Jika sesuai, jalankan solusi sebagai implementasi Rilis log Intern
percontohan atau secara paralel dengan solusi lama untuk periode
yang ditentukan dan bandingkan perilaku dan hasil. Jika terjadi
masalah signifikan, kembalikan ke
ENVIRONMENTBASEDONTHEFALLBACK BACKOUTPLAN asli
Kelola rilis komponen solusi.
Kegiatan
1. Mempersiapkan transfer prosedur bisnis dan layanan pendukung, aplikasi dan infrastruktur dari pengujian ke lingkungan produksi di
sesuai dengan standar manajemen perubahan organisasi.
2. Menentukan sejauh mana implementasi percontohan atau pemrosesan paralel sistem lama dan baru sejalan dengan rencana implementasi.
3. Segera perbarui proses bisnis yang relevan dan dokumentasi sistem, informasi konfigurasi dan dokumen rencana kontinjensi, sebagaimana mestinya.
4. Pastikan semua perpustakaan media diperbarui segera dengan versi komponen solusi yang ditransfer dari pengujian ke produksi
lingkungan. Arsipkan versi yang ada dan dokumentasi pendukungnya. Pastikan bahwa promosi ke produksi sistem, perangkat lunak aplikasi, dan infrastruktur berada di bawah
kendali konfigurasi.
5. Dimana distribusi komponen solusi dilakukan secara elektronik, kontrol distribusi otomatis untuk memastikan bahwa pengguna diberitahu dan distribusi hanya terjadi ke tujuan
yang berwenang dan diidentifikasi dengan benar. Sertakan dalam prosedur backout proses rilis untuk memungkinkan distribusi perubahan ditinjau jika terjadi malfungsi atau
kesalahan.
6. Di mana distribusi mengambil bentuk fisik, buat catatan formal tentang item apa yang telah didistribusikan, kepada siapa, di mana telah diterapkan, dan
ketika masing-masing telah diperbarui.
BAI07.07 Memberikan dukungan produksi awal. Dari Keterangan Keterangan Ke

Memberikan dukungan awal kepada pengguna dan operasi TI
APO11.03 Tinjau hasil kualitas layanan, Paket dukungan tambahan APO08.04
untuk jangka waktu yang disepakati untuk menangani masalah dan
termasuk umpan balik APO08.05
membantu menstabilkan solusi baru.
pelanggan DSS02.04

keberhasilan
Kegiatan
1. Sediakan sumber daya tambahan, sebagaimana diperlukan, kepada pengguna akhir dan personel pendukung hingga rilis stabil.
2. Menyediakan sumber daya sistem TI tambahan, sesuai kebutuhan, hingga rilis berada dalam lingkungan operasional yang stabil.

BAI07.08 Melakukan review pasca implementasi. Dari Keterangan Keterangan Ke

Lakukan tinjauan pasca implementasi untuk mengkonfirmasi
APO11.04 Hasil tinjauan dan audit kualitas Laporan tinjauan pasca- BAI01.13
hasil dan hasil, mengidentifikasi pelajaran yang dipetik, dan
implementasi BAI01.14
mengembangkan rencana aksi. Mengevaluasi dan memeriksa
kinerja dan hasil aktual dari layanan baru atau yang diubah APO11.0 s2OOTCAUSESOFQUALITY Rencana tindakan perbaikan BAI01.13
terhadap kinerja dan hasil yang diprediksi (yaitu, layanan yang kegagalan pengiriman BAI01.14
diharapkan oleh pengguna atau pelanggan). s2HASIL SOFSOLUSI DAN
pemantauan
kualitas pemberian layanan

keberhasilan
Kegiatan
1. Menetapkan prosedur untuk memastikan bahwa tinjauan pasca-implementasi mengidentifikasi, menilai dan melaporkan sejauh mana:
s%NTERPRISEREQUIREMENTSHAVEBEENMET
s%XPECTEDMANFAATTELAH DIREALISASI
s4HESYSTEMIDIPERTIMBANGKAN DAPAT
DIGUNAKAN
s)NTERNALANDEXTERNALSTAKEHOLDEREXPECTATIONSAREMET
s5NEXPECTEDIMPACTSPROCESSANDREITAGESPROCESSANDREITAGESPERIBUTANPERKEMBANGANHAVEOCCURATION
2. Konsultasikan dengan pemilik proses bisnis dan manajemen teknis TI dalam pemilihan metrik untuk pengukuran keberhasilan dan pencapaian
persyaratan dan manfaat.
3. Melakukan review pasca implementasi sesuai dengan proses manajemen perubahan organisasi. Libatkan pemilik proses bisnis dan
pihak ketiga, sebagaimana mestinya.
4. Pertimbangkan persyaratan untuk tinjauan pasca implementasi yang timbul dari bisnis luar dan TI (misalnya, audit internal, ERM, kepatuhan).
5. Menyetujui dan menerapkan rencana aksi untuk mengatasi masalah yang diidentifikasi dalam tinjauan pasca-implementasi. Libatkan pemilik proses bisnis dan manajemen teknis
TI dalam pengembangan rencana aksi.
)3/ )%# 0.1 Proses manajemen rilis
)4),6 s 4RANSISI0LANNINGDAN3DUKUNGAN
s 2ELEASEAND$EPLOYMENT
s
3ERVICE6ALIDATIONAND4ESTING
s %PENILAIAN
PMBOK Jaminan kualitas PMBOK dan penerimaan semua produk
02).#% 02).#% PERENCANAAN BERDASARKAN PRODUK

BAB 5
Area: Manajemen
BAI08 Kelola Deskripsi Proses Domain: Membangun, Memperoleh, dan Menerapkan
Pengetahuan
Menjaga ketersediaan pengetahuan yang relevan, terkini, tervalidasi, dan andal untuk mendukung semua aktivitas proses dan untuk memfasilitasi pengambilan keputusan. Merencanakan
identifikasi, pengumpulan, pengorganisasian, pemeliharaan, penggunaan, dan penghentian pengetahuan.

Memberikan pengetahuan yang diperlukan untuk mendukung semua staf dalam aktivitas kerja mereka dan untuk pengambilan keputusan yang tepat dan peningkatan produktivitas.
09 kelincahan TI s,PERKEMBANGAN KEPUASAN EKSEKUTIF BISNIS)4 RESPONSIFNESSTO

persyaratan baru
s.UMBEROFCRITICALBUSINESSPROCESSESSDIDUKUNG OLEH HINGGA TANGGAL
infrastruktur dan aplikasi
s!VERAGETIMETOTURNSTRATEGIC)4OBJEKTIFSINGKAT SETUJU
inisiatif yang disetujui
17 Pengetahuan, keahlian dan inisiatif untuk inovasi bisnis s,EVELOFBUSINESSEXECUTIVEAWARENESSANDUNDERSTANDINGOF

kemungkinan inovasi TI
dan ide-ide
Dapatkan,
Implemen
Bangun,
dan Tujuan Proses
1. Sumber informasi diidentifikasi dan diklasifikasikan.
2. Pengetahuan digunakan dan dibagikan.

Metrik Terkait
s0ERCENTOFINFORMASIKATEGORI DILAKUKAN
s6OLUMEOFINFORMASIKLASIFIKASI
s0ERCENTOFCATEGORISEDINFORMATIONVALIDASI
s0ERCENTOFAVAILABLEKnowLEDGEACTUALYUSED
s.UMBEROFUSERSTRAINEDINUSINGANDSHARINGKNOWLEDGE
s, KEPUASAN PENGGUNA
3. Berbagi pengetahuan tertanam dalam budaya perusahaan.
s0ERCENTOFKNOWLEDGEREPOSITORYUSED
4. Pengetahuan diperbarui dan ditingkatkan untuk mendukung persyaratan. s&REQUENCYOFUPDATE
Bagan BAI08 RACI
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI08.01 .URTUREANDFASILITATEA DENGAN RRRRRRRRRR

budaya berbagi pengetahuan.
BAI08.02
Mengidentifikasi dan mengklasifikasikan DENGAN CCCR RR R

sumber informasi.
BAI08.03
Mengatur dan C DI SANA ITU RRR

mengkontekstualisasikan informasi menjadi pengetahuan.
BAI08.04
SEBUAH RRRCCCRCCC
Gunakan dan bagikan pengetahuan.
BAI08.05
SEBUAH CCRRRRRRRR
Mengevaluasi dan menghentikan informasi.

BAI08.01 Memelihara dan memfasilitasi Dari Keterangan Keterangan Ke

budaya berbagi pengetahuan.
Komunikasi tentang nilai APO01.04
Merancang dan mengimplementasikan skema untuk memelihara dan
pengetahuan
memfasilitasi budaya berbagi pengetahuan.
Kegiatan
1. Secara proaktif mengkomunikasikan nilai pengetahuan untuk mendorong penciptaan, penggunaan, penggunaan kembali, dan berbagi pengetahuan.
2. Mendorong berbagi dan transfer pengetahuan dengan mengidentifikasi dan memanfaatkan faktor-faktor motivasi.
3. Ciptakan lingkungan, alat dan artefak yang mendukung berbagi dan transfer pengetahuan.
4. Tanamkan praktik manajemen pengetahuan ke dalam proses TI lainnya.
5. Tetapkan harapan manajemen dan tunjukkan sikap yang tepat mengenai kegunaan pengetahuan dan kebutuhan untuk berbagi
pengetahuan perusahaan.
BAI08.02 Mengidentifikasi dan mengklasifikasikan Dari Keterangan Keterangan Ke

sumber informasi.
Di luar persyaratan dan sumber Pengetahuan COBIT Klasifikasi sumber Intern
Mengidentifikasi, memvalidasi, dan mengklasifikasikan beragam sumber
informasi
informasi internal dan eksternal yang diperlukan untuk memungkinkan
penggunaan dan pengoperasian proses bisnis dan layanan TI secara efektif.
Kegiatan
1. Identifikasi pengguna pengetahuan potensial, termasuk pemilik informasi yang mungkin perlu berkontribusi dan menyetujui pengetahuan. Dapatkan ilmu
persyaratan dan sumber informasi dari pengguna yang teridentifikasi.
2. Pertimbangkan jenis konten (prosedur, proses, struktur, konsep, kebijakan, aturan, fakta, klasifikasi), artefak (dokumen, catatan, video, suara), dan informasi terstruktur dan tidak terstruktur
(pakar, media sosial, email, pesan suara, umpan RSS).
3. Mengklasifikasikan sumber informasi berdasarkan skema klasifikasi konten (misalnya, model arsitektur informasi). Petakan sumber informasi ke
skema klasifikasi.
4. Mengumpulkan, menyusun dan memvalidasi sumber informasi berdasarkan kriteria validasi informasi (misalnya, dapat dimengerti, relevansi, penting, integritas,
akurasi, konsistensi, kerahasiaan, mata uang dan keandalan).
BAI08.03 Mengatur dan mengkontekstualisasikan informasi Dari Keterangan Keterangan Ke

menjadi pengetahuan.
BAI03.03 Komponen solusi Repositori pengetahuan APO07.03
Mengatur informasi berdasarkan kriteria klasifikasi.
terdokumentasi yang diterbitkan
Mengidentifikasi dan menciptakan hubungan yang bermakna
antara elemen informasi dan memungkinkan penggunaan informasi. BAI05.07 Rencana transfer pengetahuan
Identifikasi pemilik dan tentukan serta terapkan tingkat akses ke
sumber daya pengetahuan.
Kegiatan
1. Mengidentifikasi atribut bersama dan mencocokkan sumber informasi, menciptakan hubungan antar kumpulan informasi (penandaan informasi).
2. Buat tampilan ke kumpulan data terkait, dengan mempertimbangkan pemangku kepentingan dan persyaratan organisasi.
3. Merancang dan mengimplementasikan skema untuk mengelola pengetahuan tidak terstruktur yang tidak tersedia melalui sumber formal (misalnya, pengetahuan ahli).
4. Publikasikan dan buat pengetahuan dapat diakses oleh pemangku kepentingan terkait berdasarkan peran dan mekanisme akses.
BAI08.04 Gunakan dan bagikan pengetahuan. Dari Deskripsi Keterangan Ke

Menyebarkan sumber daya pengetahuan yang tersedia kepada
BAI03.03 Komponen solusi Basis data pengguna pengetahuan Internal
pemangku kepentingan yang relevan dan mengkomunikasikan bagaimana
terdokumentasi
sumber daya ini dapat digunakan untuk memenuhi kebutuhan yang berbeda
(misalnya, pemecahan masalah, pembelajaran, perencanaan strategis dan BAI05.05 Rencana operasi dan penggunaan Kesadaran pengetahuan dan APO07.03
pengambilan keputusan). skema pelatihan
BAI05.07 Rencana transfer pengetahuan
Kegiatan
1. Identifikasi pengguna pengetahuan potensial dengan klasifikasi pengetahuan.
2. Mentransfer pengetahuan ke pengguna pengetahuan berdasarkan analisis kesenjangan kebutuhan dan teknik pembelajaran yang efektif dan alat akses.
3. Mendidik dan melatih pengguna tentang pengetahuan yang tersedia, akses ke pengetahuan dan penggunaan alat akses pengetahuan.

BAB 5
BAI08.05 Mengevaluasi dan menghentikan informasi. Dari Keterangan Keterangan Ke

Ukur penggunaan dan evaluasi mata uang dan
Hasil evaluasi Intern
relevansi informasi. Menghentikan informasi usang.
penggunaan pengetahuan
Aturan untuk pensiun Intern

pengetahuan
Kegiatan
1. Mengukur kegunaan dan mengevaluasi kegunaan, relevansi dan nilai elemen pengetahuan. Mengidentifikasi informasi terkait yang tidak lagi relevan dengan PERSYARATAN
PENGETAHUAN ENTERPRISE 2. Tentukan aturan untuk pensiun pengetahuan dan pensiunkan pengetahuan yang sesuai.
)4),6 18. Manajemen Pengetahuan


BAB 5
Area: Manajemen
BAI09 Kelola Aset Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
Kelola aset TI melalui siklus hidupnya untuk memastikan bahwa penggunaannya memberikan nilai dengan biaya optimal, aset tetap beroperasi (sesuai dengan tujuan),
diperhitungkan dan dilindungi secara fisik, dan aset yang penting untuk mendukung kemampuan layanan dapat diandalkan dan tersedia . Kelola lisensi perangkat lunak
untuk memastikan bahwa jumlah optimal diperoleh, dipertahankan, dan digunakan sehubungan dengan penggunaan bisnis yang diperlukan, dan perangkat lunak yang
diinstal sesuai dengan perjanjian lisensi.

Perhitungkan semua aset TI dan optimalkan nilai yang diberikan oleh aset ini.

dan kemampuan
Dapatkan,
Implemen
Bangun,
dan Tujuan Proses
1. Lisensi sesuai dan selaras dengan kebutuhan bisnis.
2. Aset dipertahankan pada tingkat yang optimal.

Metrik Terkait
s0ERCENTOFUSEDLICENCESAGAINSTPAID FORLICENCES
s.UMBEROFASSETTIDAK DIGUNAKAN
s"BIAYA ENCHMARK
s.UMBEROFOBSOLETEASETS
Bagan RACI BAI09
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

BAI09.01
Mengidentifikasi dan mencatat C C Saya CCARC
aset lancar.
BAI09.02
C IC CC RRARCCC
Mengelola aset penting.
BAI09.03
C CCAR
Mengelola siklus hidup aset.
BAI09.04
R IC ARRRR
Mengoptimalkan biaya aset.
BAI09.05
IC CRA RRRC
Mengelola lisensi.

BAI09.01 Mengidentifikasi dan mencatat aset lancar. Dari Keterangan Keterangan Ke

Pertahankan catatan terkini dan akurat dari semua aset TI
BAI03.04 Pembaruan pada inventaris aset Daftar aset APO06.01
yang diperlukan untuk memberikan layanan dan memastikan
BAI10.03
keselarasan dengan manajemen konfigurasi dan manajemen
keuangan. BAI10.02 Repositori konfigurasi Hasil pemeriksaan BAI10.03
fisik persediaan BAI10.04
DSS05.03
Hasil ulasan sesuai tujuan AP02.02
Kegiatan
1. Identifikasi semua aset yang dimiliki dalam daftar aset yang mencatat status saat ini. Pertahankan keselarasan dengan manajemen perubahan dan konfigurasi
proses manajemen, sistem manajemen konfigurasi, dan catatan akuntansi keuangan.
2. Identifikasi persyaratan hukum, peraturan atau kontrak yang perlu ditangani saat mengelola aset.
6ERIFYKEEKSISTENANOFALLOWNEDASETSBYPERFORMINGREGULERFISIKANDLOGISINVENTORYPERIKSAANDREKONSILIASITERMASUKPENGGUNAAN PERANGKAT LUNAK

alat penemuan.
6ERIFIKASI BAHWA SETSAREFIT UNTUK TUJUAN YAITU KONDISI TIDAK BERMANFAAT
5. Menentukan secara teratur apakah setiap aset terus memberikan nilai dan, jika demikian, memperkirakan masa manfaat yang diharapkan untuk memberikan nilai.
6. Memastikan akuntansi untuk semua aset.
BAI09.02 Mengelola aset penting. Dari Keterangan Keterangan Ke

Identifikasi aset yang penting dalam menyediakan kemampuan
Komunikasi waktu henti APO08.04
layanan dan ambil langkah untuk memaksimalkan keandalan dan
pemeliharaan yang direncanakan
ketersediaannya untuk mendukung kebutuhan bisnis.
Perjanjian pemeliharaan Internal
Kegiatan
1. Identifikasi aset yang penting dalam menyediakan kemampuan layanan dengan merujuk persyaratan dalam definisi layanan, SLA, dan konfigurasi
sistem manajemen.
2. Memantau kinerja aset penting dengan memeriksa tren insiden dan, jika perlu, mengambil tindakan untuk memperbaiki atau mengganti.
3. Secara teratur, pertimbangkan risiko kegagalan atau kebutuhan penggantian setiap aset kritis.
4. Menjaga ketahanan aset kritis dengan menerapkan pemeliharaan preventif rutin, memantau kinerja, dan, jika diperlukan, memberikan alternatif
DAN ORADDITIONALASSETSTOMINIMISETHELIKELIHOODOFFAILURE
5. Menetapkan rencana pemeliharaan preventif untuk semua perangkat keras, dengan mempertimbangkan analisis biaya-manfaat, rekomendasi vendor, risiko pemadaman, kualifikasi
personel dan faktor lain yang relevan.
6. Menetapkan perjanjian pemeliharaan yang melibatkan akses pihak ketiga ke fasilitas TI organisasi untuk aktivitas di dalam dan di luar lokasi (misalnya, outsourcing).
Menetapkan kontrak layanan formal yang berisi atau mengacu pada semua kondisi keamanan yang diperlukan, termasuk prosedur otorisasi akses, untuk memastikan kepatuhan
terhadap kebijakan dan standar keamanan organisasi.
7. Komunikasikan kepada pelanggan dan pengguna yang terkena dampak dampak yang diharapkan (misalnya, pembatasan kinerja) dari kegiatan pemeliharaan.
8. Pastikan bahwa layanan akses jarak jauh dan profil pengguna (atau cara lain yang digunakan untuk pemeliharaan atau diagnosis) hanya aktif bila diperlukan.
9. Memasukkan waktu henti yang direncanakan dalam jadwal produksi secara keseluruhan, dan menjadwalkan kegiatan pemeliharaan untuk meminimalkan dampak buruk pada
proses bisnis.

BAB 5
BAI09.03 Mengelola siklus hidup aset. Dari Keterangan Keterangan Ke

Mengelola aset mulai dari pengadaan hingga pembuangan untuk
Permintaan Intern
memastikan bahwa aset digunakan seefektif dan seefisien mungkin
pengadaan aset yang disetujui
dan dapat dipertanggungjawabkan serta dilindungi secara fisik.
Daftar aset yang diperbarui BAI10.03
Pensiun aset resmi BAI10.03
Kegiatan
1. Pengadaan semua aset berdasarkan permintaan yang disetujui dan sesuai dengan kebijakan dan praktik pengadaan perusahaan.
2. Sumber, terima, verifikasi, uji dan catat semua aset dengan cara yang terkendali, termasuk pelabelan fisik, sebagaimana diperlukan.
3. Menyetujui pembayaran dan menyelesaikan proses dengan pemasok sesuai dengan kondisi kontrak yang disepakati.
4. Terapkan aset mengikuti siklus hidup implementasi standar, termasuk manajemen perubahan dan pengujian penerimaan.
5. Mengalokasikan aset kepada pengguna, dengan penerimaan tanggung jawab dan persetujuan, sebagaimana mestinya.
6. Alokasi ulang aset bila memungkinkan ketika tidak lagi diperlukan karena perubahan peran pengguna, redundansi dalam layanan, atau pensiun
dari sebuah layanan.
7. Buang aset ketika aset tersebut tidak memiliki tujuan yang berguna karena penghentian semua layanan terkait, teknologi usang, atau kurangnya pengguna.
8. Buang aset dengan aman, dengan mempertimbangkan, misalnya, penghapusan permanen semua data yang direkam pada perangkat media dan potensi kerusakan lingkungan.
9. Merencanakan, mengesahkan, dan mengimplementasikan kegiatan terkait pensiun, menyimpan catatan yang sesuai untuk memenuhi kebutuhan bisnis dan peraturan yang sedang berlangsung.
BAI09.04 Mengoptimalkan biaya aset. Dari Keterangan Keterangan Ke

Secara teratur meninjau basis aset keseluruhan untuk
Hasil tinjauan AP02.02
mengidentifikasi cara mengoptimalkan biaya dan menjaga
pengoptimalan biaya
keselarasan dengan kebutuhan bisnis.
Peluang untuk mengurangi AP02.02

biaya aset atau meningkatkan
nilai
Kegiatan
1. Secara teratur, tinjau basis aset secara keseluruhan, dengan mempertimbangkan apakah selaras dengan kebutuhan bisnis.
2. Kaji biaya pemeliharaan, pertimbangkan kewajaran, dan identifikasi opsi berbiaya lebih rendah, termasuk, jika perlu, penggantian dengan alternatif baru.
3. Tinjau jaminan dan pertimbangkan nilai uang dan strategi penggantian untuk menentukan opsi dengan biaya terendah.
4. Tinjau basis keseluruhan untuk mengidentifikasi peluang untuk standardisasi, sumber tunggal, dan strategi lain yang dapat menurunkan pengadaan, dukungan dan
biaya perawatan.
5. Gunakan statistik kapasitas dan pemanfaatan untuk mengidentifikasi aset yang kurang dimanfaatkan atau berlebihan yang dapat dipertimbangkan untuk dibuang atau diganti dengan biaya yang lebih rendah.
6. Tinjau keadaan keseluruhan untuk mengidentifikasi peluang untuk memanfaatkan teknologi yang muncul atau strategi sumber alternatif untuk mengurangi biaya atau meningkatkan nilai
untuk uang.

BAI09.05 Mengelola lisensi. Dari Keterangan Keterangan Ke

Kelola lisensi perangkat lunak sehingga jumlah lisensi yang optimal
Daftar lisensi perangkat BAI10.02
dipertahankan untuk mendukung kebutuhan bisnis dan jumlah lisensi
lunak
yang dimiliki cukup untuk menutupi perangkat lunak yang diinstal
yang digunakan. Hasil audit lisensi MEA03.03
terpasang
!CTIONPLANTOADJUST APO02.05
nomor dan alokasi
lisensi
Kegiatan
1. Menyimpan daftar semua lisensi perangkat lunak yang dibeli dan perjanjian lisensi terkait.
2. Secara teratur, lakukan audit untuk mengidentifikasi semua contoh perangkat lunak berlisensi yang diinstal.
3. Bandingkan jumlah instans perangkat lunak yang diinstal dengan jumlah lisensi yang dimiliki.
4. Ketika instans lebih rendah dari jumlah yang dimiliki, putuskan apakah perlu mempertahankan atau menghentikan lisensi, dengan mempertimbangkan potensi penghematan
pemeliharaan yang tidak perlu, pelatihan dan biaya lainnya.
7HENINSTANCESARELEHHERTHENUMBEROWNEDPERTIMBANGKAN DULUPELuang UNTUKUNINSTALLINSTANCESTHATARENOLONGPERLU DIPERTIMBANGKANORJUSTIFIEDAND

kemudian, jika perlu, beli lisensi tambahan untuk mematuhi perjanjian lisensi.
6. Secara teratur, pertimbangkan apakah nilai yang lebih baik dapat diperoleh dengan meningkatkan produk dan lisensi terkait.
.SATU

BAB 5
Area: Manajemen
BAI10 Manage Configuration Domain: Membangun, Memperoleh, dan Menerapkan
Process Description Menentukan

dan memelihara deskripsi dan hubungan antara sumber daya utama dan kemampuan yang diperlukan untuk memberikan layanan yang mendukung TI, termasuk
mengumpulkan informasi konfigurasi, menetapkan baseline, memverifikasi dan mengaudit informasi konfigurasi, dan memperbarui repositori konfigurasi.

Memberikan informasi yang cukup tentang aset layanan untuk memungkinkan layanan dikelola secara efektif, menilai dampak perubahan, dan menangani insiden
layanan.
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan s#OSTOF)4NON COMPLIANCETERMASUK PENYELESAIANSANDFINESANDDampak
peraturan eksternal dari kerugian reputasi s.UMBEROF)4 MASALAH KEPATUHAN YANG TERKAIT
DILAPORANKAN KE DEWAN PENDAPATAN menyebabkan komentar publik atau
mempermalukan s.UMBEROFNON KEPATUHANPLUGIAN BERKAITAN DENGAN
PERJANJIAN KONTRAKTUASI#LEBIH DARI PENYEDIA LAYANAN TI

TERKAIT
Dapatkan,
Implemen
Bangun,
dan 14 Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan

s,KEMBANGKAN BISNIS KEPUASAN PENGGUNA DENGAN
KUALITAS DAN KETEPATAN WAKTU (atau ketersediaan) dari
informasi manajemen
1. Repositori konfigurasi akurat, lengkap, dan mutakhir. s.UMBEROFDEVIATIONSBETWEENTHECONFIGURATIONREPOSITORYAND

konfigurasi langsung
s.UMBEROFDISCREPANCIESRELATINGTOINCOMPLETEORMISSING
informasi konfigurasi
Bagan BAI10 RACI
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI10.01
Membangun dan C CCC I ARR
memelihara model konfigurasi.
BAI10.02
Membangun dan
CRARR
memelihara repositori
konfigurasi dan baseline.
BAI10.03
Memelihara dan ACRRRC
mengontrol item konfigurasi.
BAI10.04
Menghasilkan laporan status dan Saya Saya saya CCAR saya
konfigurasi.
BAI10.05
Saya R RRA R
6ERIFYANDREVIEWINTEGRITYOFTrepositori konfigurasi.

BAI10.01 Membangun dan memelihara Dari Keterangan Keterangan Ke

model konfigurasi.
BAI07.06 Rencana rilis Lingkup model manajemen Intern
Membangun dan memelihara model logis dari layanan,
konfigurasi
aset dan infrastruktur dan bagaimana merekam item konfigurasi
(CI) dan hubungan di antara mereka. Sertakan CI yang dianggap Model konfigurasi logis Intern
perlu untuk mengelola layanan secara efektif dan untuk memberikan
deskripsi tunggal yang andal tentang aset dalam suatu layanan.
Kegiatan
1. Tetapkan dan setujui cakupan dan tingkat detail untuk manajemen konfigurasi (yaitu, layanan, aset, dan infrastruktur mana yang dapat dikonfigurasi
item untuk disertakan).
2. Menetapkan dan memelihara model logis untuk manajemen konfigurasi, termasuk informasi tentang jenis item konfigurasi, atribut item konfigurasi,
jenis hubungan, atribut hubungan dan kode status.
BAI10.02 Membangun dan memelihara repositori konfigurasi Dari Keterangan Keterangan Ke

dan baseline.
BAI09.05 Daftar lisensi perangkat Repositori konfigurasi BAI09.01
Membangun dan memelihara repositori manajemen konfigurasi
lunak DSS02.01
dan membuat baseline konfigurasi yang terkontrol.
Dasar konfigurasi BAI03.11
Kegiatan
1. Mengidentifikasi dan mengklasifikasikan item konfigurasi dan mengisi repositori.
2. Buat, tinjau, dan setujui secara formal baseline konfigurasi layanan, aplikasi, atau infrastruktur.
BAI10.03 Memelihara dan mengontrol item konfigurasi. Dari Deskripsi Keterangan Ke

Pertahankan repositori item konfigurasi terbaru dengan mengisi
BAI06.03 Ubah laporan status Repositori yang diperbarui DSS02.01
dengan perubahan.
permintaan dengan item konfigurasi
BAI09.01 s2ESULTSOFHYSICAL Perubahan yang disetujui BAI03.11

pemeriksaan inventaris pada baseline
s!SSETREGISTER
BAI09.03 s!UTHORISEDASSET
pensiun
s5PDATEDASET DAFTAR
Kegiatan
1. Secara teratur mengidentifikasi semua perubahan pada item konfigurasi.
2. Tinjau perubahan yang diusulkan pada item konfigurasi terhadap baseline untuk memastikan kelengkapan dan akurasi.
3. Perbarui detail konfigurasi untuk perubahan yang disetujui pada item konfigurasi.
4. Buat, tinjau, dan setujui secara formal perubahan pada baseline konfigurasi kapan pun diperlukan.
BAI10.04 Menghasilkan laporan status dan konfigurasi. Dari Keterangan Keterangan Ke

Tetapkan dan buat laporan konfigurasi tentang perubahan
BAI09.01 Hasil pemeriksaan Laporan status konfigurasi BAI03.11
status item konfigurasi.
fisik persediaan DSS02.01
Kegiatan
1. Identifikasi perubahan status item konfigurasi dan laporkan terhadap baseline.
2. Cocokkan semua perubahan konfigurasi dengan permintaan perubahan yang disetujui untuk mengidentifikasi perubahan yang tidak sah. Laporkan perubahan tidak sah ke
manajemen perubahan.
3. Identifikasi persyaratan pelaporan dari semua pemangku kepentingan, termasuk konten, frekuensi dan media. Membuat laporan sesuai dengan
persyaratan yang teridentifikasi.

BAB 5
BAI10.05 Memverifikasi dan meninjau integritas Dari Keterangan Keterangan Ke

repositori konfigurasi.
Hasil verifikasi fisik Intern
Tinjau repositori konfigurasi secara berkala dan verifikasi
item konfigurasi
kelengkapan dan kebenaran terhadap target yang diinginkan.
Penyimpangan lisensi MEA03.03
Hasil review kelengkapan Intern

repositori
Kegiatan
1. Verifikasi item konfigurasi langsung secara berkala terhadap repositori konfigurasi dengan membandingkan konfigurasi fisik dan logis dan menggunakan yang sesuai
alat penemuan, sesuai kebutuhan.
2. Laporkan dan tinjau semua penyimpangan untuk koreksi yang disetujui atau tindakan untuk menghapus aset yang tidak sah.
3. Verifikasi secara berkala bahwa semua item konfigurasi fisik, sebagaimana didefinisikan dalam repositori, ada secara fisik. Laporkan setiap penyimpangan kepada manajemen.
4. Tetapkan dan tinjau target kelengkapan konfigurasi repositori secara berkala berdasarkan kebutuhan bisnis.
5. Secara berkala membandingkan tingkat kelengkapan dan akurasi terhadap target dan mengambil tindakan perbaikan, jika diperlukan, untuk meningkatkan kualitas
data penyimpanan.
Panduan Terkait BAI10
)3/ )%# 9.1 Manajemen konfigurasi
)4),6 14. Manajemen Aset dan Konfigurasi Layanan


BAB 5
MEMBERIKAN, LAYANAN DAN DUKUNGAN (DSS)
01 Mengelola operasi.
02 Kelola permintaan dan insiden layanan.
03 Mengelola masalah.
04 Mengelola kontinuitas.
05 Mengelola layanan keamanan.
06 Mengelola kontrol proses bisnis.


BAB 5
Area: Manajemen
DSS01 Kelola Operasi Domain: Pengiriman, Layanan, dan Dukungan
Deskripsi proses
Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang diperlukan untuk memberikan layanan TI internal dan outsourcing, termasuk pelaksanaan
prosedur operasi standar yang telah ditentukan dan kegiatan pemantauan yang diperlukan.

Memberikan hasil layanan operasional TI sesuai rencana.
04 Risiko bisnis terkait TI yang dikelola s0ERCENTOFCRITICALBUSINESSPROCESS)4SERVICESAND

Program bisnis berkemampuan TI yang dicakup oleh penilaian risiko
tugas beresiko

dan kemampuan
1. Kegiatan operasional dilakukan sesuai kebutuhan dan terjadwal. s.UMBEROFNON STANDAR OPERASIONAL PROSEDUR DILAKSANAKAN
s.UMBEROFINCIDENTSEBAB MASALAH OPERASIONAL
2. Operasi dipantau, diukur, dilaporkan, dan diperbaiki. s2ATIOOFEVENTSDIBANDINGKANTOTHENUMBEROFINCIDENTS

s0ERCENTOFCRITICALOPERATIONALEVENTTYPECOVEREDBYAUTOMATIC
sistem deteksi
Bagan RACI DSS01
Dukungan
Layanan,
Kirim,
dan
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
DSS01.01
Sebuah CCC
Melakukan prosedur operasional.
DSS01.02
Saya DENGAN
Mengelola layanan TI yang dialihdayakan.
DSS01.03
Saya C Saya CI CA CC
Memantau infrastruktur TI.
DSS01.04
Saya ITU CCC I CR IRI
Mengelola lingkungan.
DSS01.05
Saya ITU CCC I CR IRI
Mengelola fasilitas.

DSS01 Proses Praktek, Input/Output dan Kegiatan
DSS01.01 Melakukan prosedur operasional. Dari Keterangan Keterangan Ke

Memelihara dan menjalankan prosedur operasional dan
BAI05.05 Rencana operasi dan penggunaan Jadwal operasional Intern
tugas operasional secara andal dan konsisten.
Log cadangan Intern
Kegiatan
1. Mengembangkan dan memelihara prosedur operasional dan kegiatan terkait untuk mendukung semua layanan yang diberikan.
2. Menjaga jadwal kegiatan operasional, melakukan kegiatan, dan mengelola kinerja dan throughput dari kegiatan yang dijadwalkan.
6ERIFYTHALLDATADIHARAPKANUNTUK PROSES DITERIMA DAN DIPROSES SEPENUHNYA AKURAT DAN TEPAT WAKTU MANNER $ELIVEROUTPUTINACORDANCE
dengan persyaratan perusahaan. Mendukung kebutuhan restart dan pemrosesan ulang. Pastikan bahwa pengguna menerima output yang tepat dengan cara yang aman dan tepat waktu.
%NSURETHATAPLICABLESECURITYSTANDARSAREMETFORTHEIPTPROCESSINGSTORAGEANDOUTPUTOFDATAINAWAYTHMEETSENTERPRISEOBJECTIVESTHE
KEBIJAKAN DAN PERSYARATAN PERATURAN KEAMANAN PERUSAHAAN
5. Menjadwalkan, mengambil, dan mencatat pencadangan sesuai dengan kebijakan dan prosedur yang ditetapkan.
DSS01.02 Mengelola layanan TI outsourcing. Dari Keterangan Keterangan Ke

Mengelola pengoperasian layanan TI yang dialihdayakan
APO09.03 s/,!S Rencana jaminan independen MEA02.06
untuk menjaga perlindungan informasi perusahaan dan keandalan
s3,!S
penyampaian layanan.
BAI05.05 Rencana operasi dan penggunaan
Kegiatan
%JAMINANPERSYARATAN ENTERPRISEPERSYARATAN KEAMANANPROSES INFORMASIDIPERHATIKANPADA SESUAI DENGAN KONTRAKSAND3,!SWITTHHIRD

pihak yang menyelenggarakan atau menyediakan layanan.
% PASTI BAHWATHEENTERPRISE SOPERATIONALBUSINESSAND)4PERSYARATAN PENGOLAHANDAN PRIORITAS UNTUK LAYANAN DELIVERYYREADHEREDTOINACORDANCEwith

kontrak dan SLA dengan pihak ketiga yang menghosting atau menyediakan layanan.
3. Mengintegrasikan proses manajemen TI internal yang penting dengan proses dari penyedia layanan outsourcing, yang meliputi, misalnya, perencanaan kinerja dan kapasitas,
manajemen perubahan, manajemen konfigurasi, permintaan layanan dan manajemen insiden, manajemen masalah, manajemen keamanan, kelangsungan bisnis, dan pemantauan
kinerja proses dan pelaporan.
4. Rencanakan audit independen dan jaminan lingkungan operasional penyedia outsourcing untuk mengonfirmasi bahwa persyaratan yang disepakati sedang
ditangani secara memadai.
DSS01.03 Memantau infrastruktur TI. Dari Keterangan Keterangan Ke

Memantau infrastruktur TI dan acara terkait. Menyimpan informasi
BAI03.11 Definisi layanan Aturan pemantauan aset dan DSS02.01
kronologis yang cukup dalam log operasi untuk memungkinkan
kondisi acara DSS02.02
rekonstruksi, peninjauan, dan pemeriksaan urutan waktu operasi
dan aktivitas lain di sekitar atau mendukung operasi. Log peristiwa Intern
Tiket insiden DSS02.02
Kegiatan
1. Log peristiwa, mengidentifikasi tingkat informasi yang akan direkam berdasarkan pertimbangan risiko dan kinerja.
2. Mengidentifikasi dan memelihara daftar aset infrastruktur yang perlu dipantau berdasarkan kekritisan layanan dan hubungan antara konfigurasi
barang dan jasa yang bergantung padanya.
3. Tetapkan dan terapkan aturan yang mengidentifikasi dan mencatat pelanggaran ambang batas dan kondisi peristiwa. Temukan keseimbangan antara menghasilkan peristiwa kecil
palsu dan peristiwa penting sehingga log peristiwa tidak dibebani dengan informasi yang tidak perlu.
4. Menghasilkan log peristiwa dan menyimpannya untuk jangka waktu yang tepat untuk membantu penyelidikan di masa mendatang.
5. Menetapkan prosedur untuk memantau log peristiwa dan melakukan tinjauan rutin.
6. Pastikan bahwa tiket insiden dibuat tepat waktu saat pemantauan mengidentifikasi penyimpangan dari ambang batas yang ditentukan.

BAB 5
DSS01 Proses Praktik, Input/Output dan Kegiatan (lanjutan)
DSS01.04 Mengelola lingkungan. Dari Keterangan Keterangan Ke

Pertahankan langkah-langkah untuk perlindungan terhadap faktor
Kebijakan lingkungan APO01.08
lingkungan. Pasang peralatan dan perangkat khusus untuk
memantau dan mengendalikan lingkungan. Laporan polis asuransi MEA03.03
Kegiatan
1. Mengidentifikasi bencana alam dan buatan manusia yang mungkin terjadi di area di mana fasilitas TI berada. Menilai efek potensial pada
fasilitas TI.
2. Mengidentifikasi bagaimana peralatan IT, termasuk peralatan mobile dan off-site, dilindungi dari ancaman lingkungan. Pastikan bahwa kebijakan membatasi atau
mengecualikan makan, minum, dan merokok di area sensitif, dan melarang penyimpanan alat tulis dan persediaan lain yang menimbulkan bahaya kebakaran di dalam ruang
komputer.
3. Menempatkan dan membangun fasilitas TI untuk meminimalkan dan mengurangi kerentanan terhadap ancaman lingkungan.
4. Secara teratur memantau dan memelihara perangkat yang secara proaktif mendeteksi ancaman lingkungan (misalnya, api, air, asap, kelembaban).
5. Menanggapi alarm lingkungan dan pemberitahuan lainnya. Dokumen dan prosedur pengujian, yang harus mencakup prioritas alarm dan kontak
dengan otoritas tanggap darurat setempat, dan melatih personel dalam prosedur ini.
6. Bandingkan langkah-langkah dan rencana kontinjensi terhadap persyaratan polis asuransi dan hasil laporan. Atasi poin ketidakpatuhan dalam a
tepat waktu.
7. Pastikan bahwa situs TI dibangun dan dirancang untuk meminimalkan dampak risiko lingkungan (misalnya, pencurian, udara, api, asap, air, getaran, teror, vandalisme,
CHEMICLSEXPLOSIVES#ONSIDERSPECIFICSZONESAND ORFIREPROOFCELLS EG LOKASI PRODUKSI DAN PENGEMBANGAN LINGKUNGAN SERVERSAWA
dari satu sama lain).
8. Jaga agar situs TI dan ruang server tetap bersih dan dalam kondisi aman setiap saat (yaitu, tidak berantakan, tidak ada kertas atau kotak kardus, tidak ada tempat sampah yang terisi, tidak ada
bahan atau bahan kimia yang mudah terbakar).
DSS01.05 Mengelola fasilitas. Dari Keterangan Keterangan Ke

Mengelola fasilitas, termasuk peralatan listrik dan komunikasi,
Laporan penilaian fasilitas MEA01.03
sesuai dengan undang-undang dan peraturan, persyaratan teknis
dan bisnis, spesifikasi vendor, serta pedoman kesehatan dan
keselamatan. Kesadaran kesehatan Intern
dan keselamatan
Kegiatan
%XAMINETHE)4PERSYARATAN FASILITAS UNTUK PERLINDUNGAN TERHADAP DUKUNGANFLUKTUASIDANDOUTAGESINCONJUNCTIONDENGANPERENCANAAN KELANJUTAN BISNIS LAIN

persyaratan. Pengadaan peralatan pasokan tak terputus yang sesuai (misalnya, baterai, generator) untuk mendukung perencanaan kelangsungan bisnis.
2EGULARLYTESTTHEUNINTERRUPTIBLEPOWERSMEKANISME PENAWARAN DAN PASTIKAN BAHWA DAYA DAPAT DIBERAKHIRKAN UNTUK PENAWARAN TANPA EFEK SIGNIFIKAN
operasi bisnis.
3. Pastikan bahwa fasilitas yang menampung sistem TI memiliki lebih dari satu sumber untuk utilitas yang bergantung (misalnya, listrik, telekomunikasi, air, gas).
Pisahkan pintu masuk fisik setiap utilitas.
4. Konfirmasikan bahwa pemasangan kabel eksternal ke situs TI terletak di bawah tanah atau memiliki perlindungan alternatif yang sesuai. Tentukan bahwa pemasangan kabel di
dalam situs TI berada di dalam saluran yang aman, dan lemari kabel memiliki akses terbatas untuk personel yang berwenang. Lindungi kabel dengan benar dari kerusakan yang
disebabkan oleh api, asap, air, intersepsi, dan interferensi.
5. Pastikan bahwa pemasangan kabel dan tambalan fisik (data dan telepon) terstruktur dan terorganisir. Struktur kabel dan saluran harus didokumentasikan
(misalnya, denah bangunan cetak biru dan diagram pengkabelan).
!NALYSETHEFASILITASPERUMAHAN SHIGH AVAILABILITYSYSTEMFORREDUNDANCYANDFAIL OVERCABLINGPERSYARATAN EKSTERNLANDINTERNAL
7. Pastikan bahwa situs dan fasilitas TI terus mematuhi undang-undang, peraturan, pedoman, dan spesifikasi vendor terkait kesehatan dan keselamatan.
8. Mendidik personel secara teratur tentang undang-undang, peraturan, dan pedoman terkait kesehatan dan keselamatan. Mendidik personel tentang latihan kebakaran dan penyelamatan untuk
memastikan pengetahuan dan tindakan yang diambil jika terjadi kebakaran atau insiden serupa.
9. Mencatat, memantau, mengelola, dan menyelesaikan insiden fasilitas sesuai dengan proses manajemen insiden TI. Membuat laporan yang tersedia tentang fasilitas
insiden di mana pengungkapan diperlukan dalam hal hukum dan peraturan.
% PASTI)4 SITUSSAN PERALATAN DIPERTAHANKAN SESUAI DENGAN YANG DISARANKAN PEMASOK LAYANANINTERVALDAN SPESIFIKASI 4PERAWATAN
harus dilakukan hanya oleh personel yang berwenang.
11. Menganalisis perubahan fisik pada situs atau bangunan TI untuk menilai kembali risiko lingkungan (misalnya, kerusakan akibat kebakaran atau air). Laporkan hasil analisis ini
kepada kelangsungan bisnis dan manajemen fasilitas.
Panduan Terkait DSS01
)4),6 s %VENT-ANAGEMENT
s /PERASI-ANAGEMENT


BAB 5
Area: Manajemen
DSS02 Kelola Permintaan Layanan dan Insiden Deskripsi Domain: Pengiriman, Layanan, dan Dukungan
Proses Memberikan respons yang tepat waktu dan efektif

terhadap permintaan pengguna dan resolusi semua jenis insiden. Kembalikan layanan normal; merekam dan memenuhi permintaan pengguna; dan merekam, menyelidiki, mendiagnosis,
mengeskalasi, dan menyelesaikan insiden.

Mencapai peningkatan produktivitas dan meminimalkan gangguan melalui penyelesaian cepat pertanyaan dan insiden pengguna.
04 Risiko bisnis terkait TI yang dikelola s0ERCENTOFCRITICALBUSINESSPROCESSES)4SERVICESAND)4 ENABLED

business programmes covered by risk assessment s.UMBEROFSIGNIFICANT)4
RELATEDINCIDENTSTHATWERENOTIDENTIFIED in risk assessment
s0ERCENTOFENTERPRISERISKASSESSMENTSINCLUDING)4 RELATEDRISK
s.UMBEROFBUSINESSDISRUPTIONSDUETO)4SERVICEINCIDENTS
07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis s0ERCENTOFBUSINESSSTAKEHOLDERSSATISFIEDTHAT)4SERVICEDELIVERYMEETS

agreed-on service levels s0ERCENTOFUSERSSATISFIEDWITHTHEQUALITYOF)4SERVICEDELIVERY
1. Layanan terkait TI tersedia untuk digunakan. s.UMBERANDPERCENTOFINCIDENTMENYEBABKAN GANGGUAN

proses bisnis-kritis s-EANTIMEANTARAINSIDENSACORDINGTO)4
ENABLEDSERVICE s0ERCENTOFINCIDENTSRESOLVED WITHINAN
2. Insiden diselesaikan sesuai dengan tingkat layanan yang disepakati. SETUJU PADA PERIODE YANG DAPAT DITERIMA
waktu
3. Permintaan layanan ditangani sesuai dengan tingkat layanan yang disepakati dan s,EVELOFUSERKASIFAKSIPERMINTAAN PELAYANAN s-
untuk kepuasan pengguna. EANELAPSEDTIMEFORHANDLINGSETIAP JENISPERMINTAAN LAYANAN

Bagan RACI DSS02
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
DSS02.01
Menentukan skema klasifikasi C Saya Saya ACRR RCCC
permintaan layanan dan insiden.
DSS02.02
Merekam, mengklasifikasikan dan Saya II SEBUAH R Saya
memprioritaskan permintaan dan insiden.
DSS02.03
6ERIFYAPPROVEANDFULFIL R saya RR A
permintaan layanan.
DSS02.04
Menyelidiki, mendiagnosis, dan R Saya Saya Saya Saya Ke CR AC

mengalokasikan insiden.
DSS02.05
Menyelesaikan dan Saya Saya Saya CC I RR AR C
memulihkan dari insiden.
DSS02.06
Menutup permintaan dan Saya Saya Saya Saya Saya AKU DAN AKU
insiden layanan.
DSS02.07
Melacak status dan Saya Saya Saya Saya Saya KEPADA YA RI
menghasilkan laporan.
DSS02.01 Menentukan skema klasifikasi permintaan layanan Dari Keterangan Keterangan Ke

dan insiden.
APO09.03 SLA Skema dan model Intern
Tentukan skema dan model klasifikasi permintaan layanan dan
klasifikasi permintaan
insiden.
layanan dan insiden
BAI10.02 Repositori konfigurasi Aturan untuk eskalasi Intern

insiden
BAI10.03 Repositori yang diperbarui Kriteria pendaftaran DSS03.01

Dukungan
Layanan,
Kirim,
dan
dengan item konfigurasi masalah
BAI10.04 Laporan status konfigurasi
DSS01.03 Aturan pemantauan aset dan kondisi

acara
DSS03.01 Skema klasifikasi masalah
DSS04.03 Tindakan dan komunikasi respons

insiden
Kegiatan
1. Tentukan klasifikasi insiden dan permintaan layanan serta skema prioritas dan kriteria untuk pendaftaran masalah, untuk memastikan pendekatan yang konsisten untuk
penanganan, menginformasikan pengguna tentang dan melakukan analisis tren.
2. Tentukan model insiden untuk kesalahan yang diketahui untuk memungkinkan penyelesaian yang efisien dan efektif.
3. Tentukan model permintaan layanan sesuai dengan jenis permintaan layanan untuk mengaktifkan layanan swadaya dan layanan yang efisien untuk permintaan standar.
$EFINEINSIDENTESCALATIONRULESANDPROCEDURESESKHUSUSFORMAJORINCIDENSANDINSIDENT KEAMANAN
5. Mendefinisikan insiden dan meminta sumber pengetahuan dan penggunaannya.

BAB 5
DSS02 Proses Praktek, Input/Output dan Kegiatan (lanjutan)
DSS02.02 Merekam, mengklasifikasikan dan memprioritaskan Dari Keterangan Keterangan Ke

permintaan dan insiden.
APO09.03 SLA Log permintaan insiden Intern
Identifikasi, catat, dan klasifikasikan permintaan dan insiden
dan layanan
layanan, dan tetapkan prioritas sesuai dengan kekritisan bisnis dan
perjanjian layanan. BAI04.05 Prosedur eskalasi darurat Insiden dan permintaan layanan APO08.03
yang diklasifikasikan dan APO09.04
diprioritaskan APO13.03
DSS01.03 s) TIKET NIDENT
s!ATURAN SSETMONITORING
dan kondisi acara
DSS05.07 3 TIKET INSIDENT KEAMANAN
Kegiatan
1. Catat semua permintaan dan insiden layanan, catat semua informasi yang relevan sehingga dapat ditangani secara efektif dan catatan sejarah lengkap dapat
dipertahankan.
2. Untuk mengaktifkan analisis tren, klasifikasikan permintaan dan insiden layanan dengan mengidentifikasi jenis dan kategori.
3. Memprioritaskan permintaan dan insiden layanan berdasarkan definisi layanan SLA tentang dampak dan urgensi bisnis.
DSS02.03 Memverifikasi, menyetujui dan memenuhi permintaan layanan. Dari Deskripsi Keterangan Ke
Pilih prosedur permintaan yang sesuai dan verifikasi bahwa

APO12.06 2ISK TERKAIT AKAR PENYEBAB Permintaan layanan yang disetujui BAI06.01
permintaan layanan memenuhi kriteria permintaan yang ditentukan.
Dapatkan persetujuan, jika diperlukan, dan penuhi permintaan. Permintaan layanan yang terpenuhi Intern
Kegiatan
1. Verifikasi hak untuk permintaan layanan menggunakan, jika memungkinkan, aliran proses yang telah ditentukan sebelumnya dan perubahan standar.
/BTAINFINANCIALANDFUNGSIONALPERSETUJUAN TANDA DIBUTUHKANORPRESENTASI PERSETUJUANDIBUTUHKANPERUBAHAN &
ULFILTERPERMINTAAN DENGAN MELAKUKANPROSEDUR PERMINTAAN TERPILIH MENGGUNAKAN DIMANA MUNGKIN MEMBANTU DIRI OTOMATISMENUSANDPREDE
untuk barang yang sering diminta.
Praktik Manajemen DSS02.04 Masukan Keluaran
Menyelidiki, mendiagnosis, dan mengalokasikan Dari Keterangan Keterangan Ke

insiden.
BAI07.07 Rencana dukungan tambahan Gejala insiden Intern
Identifikasi dan catat gejala insiden, tentukan kemungkinan
penyebabnya, dan alokasikan untuk resolusi. Log masalah DSS03.01
Kegiatan
)DENTIFYANDDESCRIBERGEELEVANTSYMPTOMSTOESTABLISHTHEMAST MELAPUNG PENYEBAB INSIDEN LEMBUT 2REFERENSI TERSEDIA SUMBER PENGETAHUAN TERMASUK
Diketahui direrum dan keahlian idemidentifypossible incididentsolution kerja sementara dan orpermanentsolutions) farelatedproblemorknownerrordo
-noTalreadyread -existanDiftheincidentsy -for -everignied -everignied -noughon -tiF -noughon -tiFon -tiFon -tiFon -tiFon -non -noughon -non -noughon -non -noughon -tiFon -tiFon -tiFon
-tigion
DSS02.05 Menyelesaikan dan memulihkan dari insiden. Dari Keterangan Keterangan Ke
Dokumentasikan, terapkan, dan uji solusi yang diidentifikasi atau

APO12.06 2ISK TERKAIT Resolusi insiden DSS03.04
SOLUSI DAN KINERJARECOVERYACTIONSTORESTORE
rencana tanggapan
THE)4 LAYANAN TERKAIT
DSS03.03 Catatan kesalahan yang diketahui
DSS03.04 Komunikasi dari
DIPELAJARI PENGETAHUAN
Kegiatan
3PILIHAN DANPENERAPKANPENGELOLAAN INSIDEN SEMENTARA DAN ORPERMANENSOLUSI ORPERMANEN
2ECORDAPAKAH TEKNIK PEMECAHAN MASALAH DIGUNAKANFORINSIDENTRESOLUSI
3. Lakukan tindakan pemulihan, jika diperlukan.
$OCUMENTINCIDENTRESSOLUTIONANDASSESSIFHERESSOLUTIONDAPAT DIGUNAKANASAFUTUREKNOWLEDGESOURCE

DSS02.06 Menutup permintaan dan insiden layanan. Dari Keterangan Keterangan Ke

6ERIFIKASI RESOLUSI INSIDEN DAN ORREQUEST MEMUASKAN
DSS03.04 Catatan masalah tertutup Permintaan dan insiden APO08.03
pemenuhan, dan dekat.
layanan tertutup APO09.04
DSS03.04
Konfirmasi pengguna atas APO08.03

pemenuhan atau penyelesaian
yang memuaskan
Kegiatan
6ERIFIKASI DENGAN PENGGUNA YANG TERDAMPAK JIKA SETUJU BAHWA PERMINTAAN LAYANAN TELAH TERSELESAIKAN ATAU INSIDEN TELAH MEMUASKAN
2. Tutup permintaan dan insiden layanan.
DSS02.07 Melacak status dan menghasilkan laporan. Dari Keterangan Keterangan Ke

Secara teratur melacak, menganalisis dan melaporkan
APO09.03 OLA Status insiden dan laporan tren APO08.03
insiden dan tren pemenuhan permintaan untuk memberikan
APO09.04
informasi untuk perbaikan berkelanjutan. DSS03.01 Laporan status masalah
APO11.04
DSS03.02 Laporan penyelesaian masalah APO12.01
MEA01.03
DSS03.05 Laporan pemantauan
resolusi masalah Minta status pemenuhan dan APO08.03
laporan tren APO09.04
APO11.04
MEA01.03
Kegiatan
1. Memantau dan melacak eskalasi dan resolusi insiden serta meminta prosedur penanganan untuk kemajuan menuju penyelesaian atau penyelesaian.
2. Identifikasi pemangku kepentingan informasi dan kebutuhan mereka akan data atau laporan. Identifikasi frekuensi dan media pelaporan.
3. Analisis insiden dan permintaan layanan berdasarkan kategori dan jenis untuk menetapkan tren dan mengidentifikasi pola masalah berulang, pelanggaran SLA, atau
inefisiensi. Gunakan informasi tersebut sebagai masukan untuk perencanaan perbaikan berkelanjutan.
4. Menghasilkan dan mendistribusikan laporan tepat waktu atau menyediakan akses terkontrol ke data online.
)3/ )%# s 3 PENGELOLAAN TINGKAT LAYANAN

) MANAJEMEN NCIDENT
ISO 27002 13. Manajemen Insiden Keamanan Informasi
)4),6 s) NCIDENT-ANAGEMENT
s
2 PERMINTAAN & PENULISAN

BAB 5
Area: Manajemen
DSS03 Kelola Masalah Deskripsi Domain: Pengiriman, Layanan, dan Dukungan
Proses Mengidentifikasi dan

mengklasifikasikan masalah dan akar penyebabnya dan memberikan penyelesaian tepat waktu untuk mencegah insiden berulang. Memberikan rekomendasi untuk perbaikan.

Meningkatkan ketersediaan, meningkatkan tingkat layanan, mengurangi biaya, dan meningkatkan kenyamanan dan kepuasan pelanggan dengan mengurangi jumlah masalah
operasional.
04 Risiko bisnis terkait TI yang dikelola s0ERCENTOFCRITICALBUSINESSPROCESSES)4SERVICESAND)4

penilaian risiko
s0ERCENTOFENTERPRISERISKASSESSMENTTERMASUK )4 RELATEDRISK
07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis s.UMBEROFBUSINESSDISRUPTIONSDUETO)4SERVICEINSIDENTS

s0ERCENTOFBUSINESSSTAKEHOLDERSPERTANYAAN SERTIFIKAT LAYANAN
MEETOSEDELIS DIPERTUNJUKKAN )4 LAYANAN SERENTAK LAYANAN SERTIFIKAT
LAYANAN YANG DIPERTUNJUKKAN VERSI PENGGUNA

TERKAIT
14 Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan s,KEMBANGKAN BISNIS KEPUASAN PENGGUNA DENGAN KUALITAS DAN
KETEPATAN WAKTU (atau ketersediaan) dari informasi manajemen
1. Masalah terkait IT diselesaikan agar tidak terulang kembali. s$ECREASEINNUMBEROFECURRINGINSIDENTDISEBUTKAN

OLEH masalah yang belum terselesaikan
s0ERCENTOFMAJORINCIDENTFORMANA MASALAH YANG DITULISKAN
s0ERCENTOFWORKAROUNDSDEFINEDFOROPENPROBLEMS
s0ERCENTOFMANAJEMEN CHUDERCENTOFPROBLEMSLOGGEDAS
ditemukan

Bagan RACI DSS03
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
DSS03.01
IC Saya Saya Saya Saya RCRR AC
Mengidentifikasi dan mengklasifikasikan masalah.
DSS03.02
Menyelidiki dan Saya Saya CCA RR
mendiagnosis masalah.
DSS03.03
RR
Meningkatkan kesalahan yang diketahui.
DSS03.04
IC Saya Saya CC I CCR A
Menyelesaikan dan menutup masalah.
DSS03.05
Lakukan manajemen C CCR A
masalah proaktif.
DSS03 Proses Praktik, Input/Output dan Aktivitas
DSS03.01 Mengidentifikasi dan mengklasifikasikan masalah. Dari Keterangan Keterangan Ke

Menetapkan dan menerapkan kriteria dan prosedur untuk
APO12.06 Akar penyebab terkait risiko Skema klasifikasi masalah DSS02.01
melaporkan masalah yang diidentifikasi, termasuk klasifikasi
masalah, kategorisasi dan prioritas.
DSS02.01 Kriteria pendaftaran Laporan status masalah DSS02.07
masalah
DSS02.04 Log masalah Daftar masalah Intern
Kegiatan
1. Identifikasi masalah melalui korelasi laporan insiden, log kesalahan dan sumber daya identifikasi masalah lainnya. Tentukan tingkat prioritas dan
kategorisasi untuk mengatasi masalah secara tepat waktu berdasarkan risiko bisnis dan definisi layanan.
(DANSEMUA MASALAH SECARA FORMAL DENGAN AKSESSTOALLRELEVANTDATATERMASUKINFORMASI DARI SISTEMMANAJEMEN PERUBAHAN)4 ASET KONFIGURASI
dan detail kejadian.
3. Tentukan kelompok pendukung yang tepat untuk membantu identifikasi masalah, analisis akar masalah, dan penentuan solusi untuk mendukung masalah
pengelolaan. Tentukan kelompok pendukung berdasarkan kategori yang telah ditentukan sebelumnya, seperti perangkat keras, jaringan, perangkat lunak, aplikasi, dan perangkat lunak pendukung.
4. Tentukan tingkat prioritas melalui konsultasi dengan bisnis untuk memastikan bahwa identifikasi masalah dan analisis akar penyebab ditangani tepat waktu sesuai
Dukungan
Layanan,
Kirim,
dan
dengan SLA yang disepakati. Dasarkan tingkat prioritas pada dampak dan urgensi bisnis.
5. Laporkan status masalah yang teridentifikasi ke meja layanan sehingga pelanggan dan manajemen TI dapat terus mendapat informasi.
6. Memelihara katalog manajemen masalah tunggal untuk mendaftar dan melaporkan masalah yang diidentifikasi dan untuk menetapkan jejak audit manajemen masalah
proses, termasuk status setiap masalah (yaitu, buka, buka kembali, sedang berlangsung atau ditutup).
DSS03.02 Menyelidiki dan mendiagnosis masalah. Dari Keterangan Keterangan Ke

Selidiki dan diagnosa masalah menggunakan
APO12.06 Akar penyebab terkait risiko Akar penyebab masalah Intern
SUBJECTMANAGEMENTEXPERTSTOASSESSANDANALYSE yang relevan
akar permasalahan. Laporan penyelesaian masalah DSS02.07
Kegiatan
1. Identifikasi masalah yang mungkin merupakan kesalahan yang diketahui dengan membandingkan data insiden dengan database kesalahan yang diketahui dan yang dicurigai (misalnya, yang dikomunikasikan
oleh vendor eksternal) dan mengklasifikasikan masalah sebagai kesalahan yang diketahui.
!SOCIATETHEAFECTEDCONFIGURATIONITEMSTOTHEESTABLISHED KNOWNERROR
3. Menghasilkan laporan untuk mengkomunikasikan kemajuan dalam menyelesaikan masalah dan untuk memantau dampak berkelanjutan dari masalah yang tidak terpecahkan. Pantau statusnya
dari proses penanganan masalah sepanjang siklus hidupnya, termasuk masukan dari manajemen perubahan dan konfigurasi.

BAB 5
DSS03.03 Meningkatkan kesalahan yang diketahui. Dari Keterangan Keterangan Ke

Segera setelah akar penyebab masalah diidentifikasi, buat catatan
Catatan kesalahan yang diketahui DSS02.05
kesalahan yang diketahui dan solusi yang sesuai, dan identifikasi
solusi potensial. Solusi yang diusulkan untuk BAI06.01
kesalahan yang diketahui
Kegiatan
1. Segera setelah akar penyebab masalah diidentifikasi, buat catatan kesalahan yang diketahui dan kembangkan solusi yang sesuai.
2. Mengidentifikasi, mengevaluasi, memprioritaskan, dan memproses (melalui manajemen perubahan) solusi untuk kesalahan yang diketahui berdasarkan kasus dan bisnis biaya-manfaat
dampak dan urgensi.
DSS03.04 Menyelesaikan dan menutup masalah. Dari Keterangan Keterangan Ke

Mengidentifikasi dan memulai solusi berkelanjutan yang mengatasi akar
DSS02.05 Resolusi insiden Catatan masalah tertutup DSS02.06
masalah, mengajukan permintaan perubahan melalui proses manajemen
perubahan yang telah ditetapkan jika diperlukan untuk mengatasi DSS02.06 Permintaan dan insiden Komunikasi APO08.04
kesalahan. Pastikan bahwa personel yang terkena dampak mengetahui layanan tertutup pengetahuan yang dipelajari DSS02.05
tindakan yang diambil dan rencana yang dikembangkan untuk mencegah
terjadinya insiden di masa depan.
Kegiatan
1. Tutup catatan masalah baik setelah konfirmasi keberhasilan penghapusan kesalahan yang diketahui atau setelah kesepakatan dengan bisnis tentang cara alternatif menangani
masalah.
2. Beri tahu meja layanan tentang jadwal penutupan masalah, misalnya jadwal untuk memperbaiki kesalahan yang diketahui, kemungkinan solusi atau fakta bahwa masalah akan tetap ada
sampai perubahan diterapkan, dan konsekuensi dari pendekatan yang diambil. Tetap beri tahu pengguna dan pelanggan yang terpengaruh sebagaimana mestinya.
3. Selama proses penyelesaian, dapatkan laporan berkala dari manajemen perubahan tentang kemajuan dalam menyelesaikan masalah dan kesalahan.
4. Memantau dampak berkelanjutan dari masalah dan kesalahan yang diketahui pada layanan.
2TINJAUANDAN KONFIRMASI KEBERHASILAN PENYELESAIAN MASALAH UTAMA
6. Pastikan pengetahuan yang dipelajari dari ulasan tersebut dimasukkan ke dalam pertemuan tinjauan layanan dengan pelanggan bisnis.
DSS03.05 Lakukan manajemen masalah proaktif. Dari Keterangan Keterangan Ke

Kumpulkan dan analisis data operasional (terutama catatan insiden
Laporan pemantauan DSS02.07
dan perubahan) untuk mengidentifikasi tren yang muncul yang mungkin
resolusi masalah
mengindikasikan masalah. Catat catatan masalah untuk mengaktifkan
penilaian. Solusi berkelanjutan yang BAI06.01
teridentifikasi
Kegiatan
1. Menangkap informasi masalah yang terkait dengan perubahan dan insiden TI dan mengkomunikasikannya kepada pemangku kepentingan utama. Komunikasi ini dapat berupa laporan dan
pertemuan berkala antara pemilik proses manajemen insiden, masalah, perubahan dan konfigurasi untuk mempertimbangkan masalah terkini dan tindakan korektif potensial.
2. Pastikan bahwa pemilik proses dan manajer dari manajemen insiden, masalah, perubahan, dan konfigurasi bertemu secara teratur untuk membahas masalah yang diketahui
dan perubahan yang direncanakan di masa depan.
3. Untuk memungkinkan perusahaan memantau total biaya masalah, menangkap upaya perubahan yang dihasilkan dari aktivitas proses manajemen masalah
(misalnya, perbaikan masalah dan kesalahan yang diketahui) dan laporkan.
4. Menghasilkan laporan untuk memantau penyelesaian masalah terhadap persyaratan bisnis dan SLA. Pastikan eskalasi masalah yang tepat, misalnya,
eskalasi ke tingkat manajemen yang lebih tinggi sesuai dengan kriteria yang disepakati, menghubungi vendor eksternal, atau merujuk ke dewan penasihat perubahan untuk meningkatkan
prioritas permintaan mendesak untuk perubahan (RFC) untuk menerapkan solusi sementara.
5. Untuk mengoptimalkan penggunaan sumber daya dan mengurangi solusi, lacak tren masalah.
6. Mengidentifikasi dan memulai solusi berkelanjutan (perbaikan permanen) mengatasi akar permasalahan, dan meningkatkan permintaan perubahan melalui perubahan yang telah ditetapkan
proses manajemen.
)3/ )%# 8.3 Manajemen masalah
)4),6 22. Manajemen Masalah


BAB 5
Area: Manajemen
DSS04 Manage Continuity Domain: Pengiriman, Layanan, dan Dukungan
Process Description Menetapkan

dan memelihara rencana untuk memungkinkan bisnis dan TI merespons insiden dan gangguan untuk melanjutkan operasi proses bisnis penting dan layanan TI yang diperlukan dan
menjaga ketersediaan informasi pada tingkat yang dapat diterima oleh perusahaan.

Melanjutkan operasi bisnis penting dan menjaga ketersediaan informasi pada tingkat yang dapat diterima oleh perusahaan jika terjadi gangguan yang signifikan.
04 Risiko bisnis terkait TI yang dikelola s0ERCENTOFCRITICALBUSINESSPROCESSES)4SERVICESAND)4 AKTIFKAN

program bisnis yang dicakup oleh penilaian risiko s.UMBEROFSIGNIFICANT)4
RELATEDDINCIDENTSTHWERENOTIDENTIFIEDIN
s&REQUENCYOFUPDATEOFRISKPROFILE penilaian risiko
07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis s.UMBEROFBUSINESSGANGGUANSDUETO)4INSIDEN LAYANAN

s0ERCENTOFBUSINESSSTAKEHOLDERPUAS)4LAYANANPENGIRIMAN MEMENUHI
tingkat layanan yang disepakati s0ERCENTOFUSERSPUAS DENGAN
KUALITASNYA)4LAYANAN PENYIMPANAN
14 Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan s,KEMBANGKAN BISNIS KEPUASAN PENGGUNA DENGAN KUALITAS
DAN KETEPATAN WAKTU (atau ketersediaan) dari informasi manajemen
1. Informasi penting bisnis tersedia untuk bisnis sesuai dengan tingkat layanan s0ERCENTOF)4SERVICESMEETINGUPTIMEPERSYARATAN
minimum yang diperlukan. s0ERCENTOFSUCCESSFULANDTIMELYRESTORATIONFROM BACKUPORALTERNATE
salinan media s0ERCENTOFBACKUPMEDIATRANSFERREDANDDISIMPAN
DENGAN AMAN
2. Ketahanan yang memadai tersedia untuk layanan kritis. s.UMBEROFCRITICALBUSINESSSYSTEMSRECENTOFRESTEDBYSTEMSNOTCOVEREDBY
3. Tes kontinuitas layanan telah memverifikasi keefektifan rencana.
4. Rencana kesinambungan terkini mencerminkan kebutuhan bisnis saat ini. s0ERCENTOFAGREED ONIMPROVEMENTSTOTHEPLANTA YANG TELAH TERCANTUM
DALAM rencana s0ERCENTOFISSUESIDENTIFIED YANG TELAH TELAH SETELAH
DITUTAPKAN DALAM rencana
5. Pihak internal dan eksternal telah dilatih dalam rencana kesinambungan. s0ERCENTOFINTERNALANDEXTERNALSTAKEHOLDER YANG TELAH
MENDAPATKANPELATIHAN s0ERCENTOFISSUESIDENTIFIEDENTIFIED YANG TELAH
SELANJUTNYA MENYATAKAN materi pelatihan

Bagan RACI DSS04
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

DSS04.01
Mendefinisikan kelangsungan ACR C CCR RCR R
bisnis OBJEKTIFSANDSCOPE
DSS04.02
ACR Saya CCRRCR R
Mempertahankan strategi kesinambungan.
DSS04.03
Mengembangkan dan DAN Saya CCRCCR SEBUAH
mengimplementasikan respon kelangsungan bisnis.
DSS04.04
Latihan, uji dan tinjau DAN saya RR CR SEBUAH
BCP.
DSS04.05
Meninjau, memelihara dan meningkatkan UDARA Saya R CR R

rencana kesinambungan.
DSS04.06
DAN R RRR A
Melakukan pelatihan rencana kesinambungan.
DSS04.07
ITU R
Mengelola pengaturan pencadangan.
DSS04.08
Melakukan tinjauan pasca CR Saya RCCRR A

dimulainya kembali.
Praktek Proses DSS04, Input/Output dan Aktivitas
DSS04.01 Menentukan kebijakan, tujuan, dan ruang Dari Keterangan Keterangan Ke

lingkup kelangsungan bisnis.
APO09.03 SLA 0OLISI DAN TUJUAN UNTUK APO01.04
Tetapkan kebijakan dan ruang lingkup kelangsungan bisnis yang selaras
keberlangsungan bisnis
dengan TUJUAN ENTERPRISEANDSTAKEHOLDER
Skenario insiden yang Intern
mengganggu
Penilaian kemampuan Intern

Dukungan
Layanan,
Kirim,
dan
dan kesenjangan
kontinuitas saat ini
Kegiatan
)DENTIFIKASI INTERNALANDOUTSOURCEDBUSINESSPROSESDAN KEGIATAN LAYANAN YANGREKRITISTOPERASIOPERASI ENTERPRISEPORSESARYTOMEETLEGLANDA

atau kewajiban kontrak.
2. Identifikasi pemangku kepentingan utama dan peran serta tanggung jawab untuk mendefinisikan dan menyetujui kebijakan dan ruang lingkup kesinambungan.
$EFINEANDDOCUMENTSETUJU TUJUAN KEBIJAKAN MINIMUMSANDSCOPEFORBUSINESSCONTINUITYDEMBEDTHENEDFUNCONTINUITYPLANNINGINTHE

budaya perusahaan.
4. Mengidentifikasi proses bisnis pendukung yang penting dan layanan TI terkait.

BAB 5
DSS04.02 Mempertahankan strategi kesinambungan. Dari Keterangan Keterangan Ke
Mengevaluasi opsi manajemen kesinambungan bisnis dan memilih

APO12.06 PENYEBAB TERKAIT s2ISK Analisis dampak bisnis APO12.02
strategi kesinambungan yang hemat biaya dan layak yang akan
s2ISKIMPACT
memastikan pemulihan dan kesinambungan perusahaan dalam Persyaratan kontinuitas Intern
komunikasi
menghadapi bencana atau insiden atau gangguan besar lainnya.
Opsi strategis yang disetujui APO02.05
Kegiatan
)DENTIFIKASI POTENSIALSCENARIOSLIKELTOGIVERISETOACARA YANG DAPAT MENYEBABKANINIDEN GANGGUAN SIGNIFIKAN
2. Melakukan analisis dampak bisnis untuk mengevaluasi dampak gangguan dari waktu ke waktu terhadap fungsi bisnis penting dan dampak yang akan ditimbulkan oleh gangguan
miliki pada mereka.
3. Tetapkan waktu minimum yang diperlukan untuk memulihkan proses bisnis dan mendukung TI berdasarkan lama gangguan bisnis yang dapat diterima dan
pemadaman maksimum yang dapat ditoleransi.
!SSESSTHELIKELIHOODDANANCAMAN YANG DAPAT MENYUSULKANOSSOFBUSINESSCONTINUITYDAN MENGIDENTIFIKASIUKURAN YANG AKAN MENGURANGITHELIKELIHOODDAMPAK MELALUI

meningkatkan pencegahan dan meningkatkan ketahanan.
5. Menganalisis persyaratan kesinambungan untuk mengidentifikasi kemungkinan bisnis strategis dan opsi teknis.
)DENTIFIKASI POTENSIALSCENARIOSLIKELTOGIVERISETOACARA YANG DAPAT MENYEBABKANINIDEN GANGGUAN SIGNIFIKAN
$ETERMINEHECONDITIONSANDOWNERSOFKEYDECISIONSTITU AKAN MENYEBABKANECONTINUITYPLANSTOBEINVOKED
)MENENTIFIKASIPERSYARATAN SUMBERDAYASANDCOSTSFOREACHSTRATEGICALOPTIONDAN MEMBUATSTRATEGIREKOMENDASI
9. Dapatkan persetujuan bisnis eksekutif untuk opsi strategis yang dipilih.
DSS04.03 Mengembangkan dan mengimplementasikan Dari Keterangan Keterangan Ke

respon kelangsungan bisnis.
APO09.03 OLA Tindakan dan komunikasi DSS02.01
Mengembangkan rencana kesinambungan bisnis (BCP) berdasarkan
respons insiden
strategi yang mendokumentasikan prosedur dan informasi dalam
kesiapan untuk digunakan dalam suatu insiden untuk memungkinkan BCP Intern
perusahaan melanjutkan aktivitas kritisnya.
Kegiatan
$EFINETHEINCIDENTRESPONSEACTIONSANDCOMMUNICATIONSTOBETAKENPEREVENTOFDISRUPTION $EFINERELATEDROLESANDRESPONSIBILITIEStermasuk
akuntabilitas untuk kebijakan dan implementasi.
2. Mengembangkan dan memelihara BCP operasional yang berisi prosedur yang harus diikuti untuk memungkinkan kelanjutan operasi proses bisnis penting dan/atau
PEMROSESAN SEMENTARAPERATURANTERMASUKLINKSTOPLANSOFOUTSOURCEDLAYANAN PENYEDIA
%NSURETHEPEMASUK KUNCIDANOUTSOURCEPARTNERSHEEEFECTIVECONTINUITYPLANSINPLACE /BTAINAUDITEDEVIDENCEASDIBUTUHKAN
$EFINEHECONDITIONSANDRECOVERYPROCEDENTINGKONDITION
database informasi untuk menjaga integritas informasi.
$EFINEANDDOCUMENTTHERESOURCESREQUIREDTUSUPPORTTHECONTINUITYANDRECOVERYPROSEDUR MEMPERTIMBANGKANFASILITAS DAN)4INFRASTRUCTURE
$EFINEANDDOCUMENTTHEINFORMATIONBACKUPREQUIREMENTSREQUIREDTOUPPORTTHEPLANSINCLUDINGPLANSANDPAPERDATAPLANSI
$ETERMINEREQUIREDSKILLSFORINDIVIDUALSINVOLVEDINEKSEKUSI RENCANA DAN PROSEDUR
$ISTRIBUTEPLANSANDSPENDUKUNGDOKUMENTASIAMANTOTEPAT SECARA SESUAI RESMI PIHAK-PIHAK YANG TERTARIK DAN PASTIKAN MEREKA DAPAT DIAKSES DI BAWAH SEMUA
skenario bencana.

DSS04.04 Latihan, uji dan tinjau BCP. Dari Keterangan Keterangan Ke

Uji pengaturan kesinambungan secara teratur untuk menjalankan
Tujuan tes Intern
rencana pemulihan terhadap hasil yang telah ditentukan dan untuk
memungkinkan solusi inovatif dikembangkan dan membantu untuk Latihan tes Intern
memverifikasi dari waktu ke waktu bahwa rencana tersebut akan bekerja
Hasil tes dan Intern
seperti yang diantisipasi.
rekomendasi
Kegiatan
1. Tetapkan tujuan untuk menjalankan dan menguji sistem bisnis, teknis, logistik, administratif, prosedural, dan operasional dari rencana untuk memverifikasi
kelengkapan BCP dalam memenuhi risiko bisnis.
2. Tetapkan dan setujui latihan dengan pemangku kepentingan yang realistis, validasi prosedur kontinuitas, dan sertakan peran dan tanggung jawab serta data
pengaturan retensi yang menyebabkan gangguan minimal pada proses bisnis.
3. Tetapkan peran dan tanggung jawab untuk melakukan latihan dan tes rencana kesinambungan.
4. Jadwalkan latihan dan aktivitas tes seperti yang didefinisikan dalam rencana kontinuitas.
5. Melakukan pembekalan dan analisis pasca latihan untuk mempertimbangkan pencapaian.
6. Mengembangkan rekomendasi untuk meningkatkan rencana kesinambungan saat ini berdasarkan hasil tinjauan.
DSS04.05 Meninjau, memelihara dan meningkatkan Dari Keterangan Keterangan Ke

rencana kesinambungan.
Hasil review rencana Internal
Melakukan tinjauan manajemen atas kemampuan
kontinuitas secara berkala untuk memastikan kesesuaian, Perubahan yang disarankan Intern
kecukupan, dan efektivitasnya yang berkelanjutan. Mengelola pada rencana
perubahan rencana sesuai dengan proses pengendalian
perubahan untuk memastikan bahwa rencana kesinambungan
tetap up to date dan terus mencerminkan kebutuhan bisnis
yang sebenarnya.
Kegiatan
1. Meninjau rencana kesinambungan dan kemampuan secara teratur terhadap asumsi yang dibuat dan tujuan operasional dan strategis bisnis saat ini.
2. Pertimbangkan apakah penilaian dampak bisnis yang direvisi mungkin diperlukan, tergantung pada sifat perubahannya.
3. Merekomendasikan dan mengkomunikasikan perubahan dalam kebijakan, rencana, prosedur, infrastruktur, dan peran dan tanggung jawab untuk persetujuan manajemen dan
diproses melalui proses manajemen perubahan.
4. Tinjau rencana kesinambungan secara teratur untuk mempertimbangkan dampak perubahan baru atau besar terhadap: organisasi perusahaan, proses bisnis,
pengaturan outsourcing, teknologi, infrastruktur, sistem operasi dan sistem aplikasi.
DSS04.06 Melakukan pelatihan rencana kesinambungan. Dari Keterangan Keterangan Ke

Memberikan sesi pelatihan reguler kepada semua pihak internal
SDM Daftar personel yang Persyaratan pelatihan APO07.03
dan eksternal terkait mengenai prosedur dan peran serta tanggung
membutuhkan pelatihan
jawab mereka jika terjadi gangguan. Memantau hasil keterampilan APO07.03
dan kompetensi
Kegiatan
1. Tetapkan dan pertahankan persyaratan dan rencana pelatihan bagi mereka yang melakukan perencanaan kesinambungan, penilaian dampak, penilaian risiko, komunikasi
media, dan respons insiden. Pastikan bahwa rencana pelatihan mempertimbangkan frekuensi pelatihan dan mekanisme penyampaian pelatihan.
2. Mengembangkan kompetensi berdasarkan pelatihan praktis termasuk partisipasi dalam latihan dan tes.
3. Memantau keterampilan dan kompetensi berdasarkan hasil latihan dan tes.

BAB 5
DSS04.07 Mengelola pengaturan pencadangan. Dari Keterangan Keterangan Ke

Menjaga ketersediaan informasi bisnis-penting.
Hasil pengujian data cadangan Internal
Kegiatan
1. Back up sistem, aplikasi, data dan dokumentasi sesuai jadwal yang telah ditentukan, dengan mempertimbangkan:
s&REQUENCY MONTHLYWEEKLYDAILYETC
s-ODEOFBACKUP EG DISKMIRRORINGFORREALTIMEBACKUPSVS $6$ 2/-FORLONG
TERMRETENTIONs4YPEOFBACKUP EG FULLVS INCREMENTALs4YPEOFMEDIA
s!UTOMASIONLINECADANGAN
s$ATATYPES EG
VOICEOPTICALs#REATIONOFLOGS
s#RITICALEND USERCOMPUTINGDATA EG
SPREADSHEETSs0HYSICALANDLOGICALLOCATIONOFDASOURCES
s3 KEAMANAN DAN HAK AKSES
s%NCRYPTION
2. Memastikan bahwa sistem, aplikasi, data, dan dokumentasi yang dipelihara atau diproses oleh pihak ketiga dicadangkan secara memadai atau diamankan.
Pertimbangkan untuk meminta pengembalian cadangan dari pihak ketiga. Pertimbangkan pengaturan escrow atau deposit.
3. Tetapkan persyaratan untuk penyimpanan data cadangan di lokasi dan di luar lokasi yang memenuhi persyaratan bisnis. Pertimbangkan aksesibilitas yang diperlukan untuk
membuat cadangan data.
4. Menggelar kesadaran dan pelatihan BCP.
5. Uji dan perbarui data yang diarsipkan dan dicadangkan secara berkala.
DSS04.08 Melakukan tinjauan pasca-dimulai kembali. Dari Keterangan Keterangan Ke

Menilai kecukupan BCP setelah keberhasilan dimulainya
Laporan ulasan pasca Intern
kembali proses bisnis dan layanan setelah gangguan.
dimulainya kembali
Perubahan yang disetujui BAI06.01

pada rencana
Kegiatan
1. Menilai kepatuhan terhadap BCP yang didokumentasikan.
2. Menentukan efektivitas rencana, kemampuan kontinuitas, peran dan tanggung jawab, keterampilan dan kompetensi, ketahanan terhadap insiden, teknis
infrastruktur, dan struktur organisasi dan hubungan.
3. Mengidentifikasi kelemahan atau kelalaian dalam rencana dan kemampuan dan membuat rekomendasi untuk perbaikan.
4. Dapatkan persetujuan manajemen untuk setiap perubahan rencana dan terapkan melalui proses pengendalian perubahan perusahaan.
BS 25999:2007 Standar Kontinuitas Bisnis
)3/ )%# 6.3 Kontinuitas layanan dan manajemen ketersediaan
)3/ )%# 14. Manajemen Kontinuitas Bisnis
)4),6 9. Manajemen Kontinuitas Layanan TI


BAB 5
Area: Manajemen
DSS05 Manage Security Services Domain: Pengiriman, Layanan, dan Dukungan
Deskripsi Proses Melindungi informasi

perusahaan untuk menjaga tingkat risiko keamanan informasi yang dapat diterima oleh perusahaan sesuai dengan kebijakan keamanan.
Menetapkan dan memelihara peran keamanan informasi dan hak akses serta melakukan pemantauan keamanan.

Meminimalkan dampak bisnis dari kerentanan dan insiden keamanan informasi operasional.
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN
peraturan eksternal FINTING dan Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan
Kepatuhan yang Diprioritaskan RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN
penilaian risiko
yang terkait dengan sksikal-rumit s & requencyofupdateofriskProfile S.

besar-besaran.
10 Keamanan informasi, infrastruktur pemrosesan dan aplikasi
.ETWORKSANDCOMMUNICATIONSKeamananMEETPERLU BISNIS s.UMBEROFKERENTANAN DITEMUKAN

s.UMBEROFFIREWALLBREACHES
2. Informasi yang diproses, disimpan, dan dikirimkan oleh perangkat titik s0ERCENTOFINDIVIDUALPENERIMAAN KESADARANPELATIHANTERKAITPENGGUNAAN
akhir dilindungi. perangkat titik akhir s.UMBEROFINCIDENTSILIBATKANENDPOINTDEVICES
s.UMBEROFUNAUTHORISEDDEviceDETECTEDONTHENETWORKORINTHE
lingkungan pengguna akhir
3. Semua pengguna dapat diidentifikasi secara unik dan memiliki hak akses sesuai s!VERAGETIMEBETWEENCHANGEANDUPDATEOFACCOUNTS
dengan peran bisnis mereka. s.UMBEROFACCOUNTS VS NUMBEROFAUTHORISEDUSERSSTAFF
4. Tindakan fisik telah diterapkan untuk melindungi informasi dari akses, s0ERCENTOFPERIODICTESTSOFENVIRONMENTALSECURITYPERANGKAT
kerusakan, dan gangguan yang tidak sah saat diproses, disimpan, atau s!VERAGERATINGUNTUK PENILAIAN KEAMANAN FISIK
dikirim. s.UMBEROFISIKAL KEAMANAN TERKAIT
5. Informasi elektronik diamankan dengan baik saat disimpan, ditransmisikan s.UMBEROFINCIDENTSRELATINGTOUNAUTHORISEDACCESSTOINFORMASI

atau dihancurkan.

Bagan RACI DSS05
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

DSS05.01
RI CA RCCC I RR IR
Melindungi dari malware.
DSS05.02
Mengelola keamanan Saya ITU CCC I RR IR
jaringan dan konektivitas.
DSS05.03
Saya ITU CCC I RR IR
Mengelola keamanan titik akhir.
DSS05.04
Mengelola identitas pengguna R ITU Saya CCC Saya CR IR C
dan akses logis.
DSS05.05
Mengelola akses fisik ke Saya ITU CCC I CR IRI
aset TI.
DSS05.06
Mengelola dokumen sensitif Saya CCA R
dan perangkat keluaran.
DSS05.07
Memantau infrastruktur untuk Saya C saya CCC I CR IRI Saya
kejadian terkait keamanan.
DSS05.01 Melindungi dari malware. Dari Keterangan Keterangan Ke

Menerapkan dan memelihara langkah-langkah
Kebijakan pencegahan APO01.04
pencegahan, detektif dan korektif di tempat (terutama
perangkat lunak berbahaya
patch keamanan terbaru dan pengendalian virus) di seluruh
perusahaan untuk melindungi sistem informasi dan teknologi Evaluasi APO12.02
dari malware (misalnya, virus, worm, spyware, spam). potensi ancaman APO12.03
Kegiatan
1. Mengkomunikasikan kesadaran perangkat lunak berbahaya dan menegakkan prosedur dan tanggung jawab pencegahan.
2. Instal dan aktifkan alat perlindungan perangkat lunak berbahaya di semua fasilitas pemrosesan, dengan file definisi perangkat lunak berbahaya yang diperbarui sesuai kebutuhan
Dukungan
Layanan,
Kirim,
dan
(otomatis atau semi otomatis).
3. Distribusikan semua perangkat lunak proteksi secara terpusat (versi dan level patch) menggunakan konfigurasi terpusat dan manajemen perubahan.
2 SECARA TERATUR TINJAUAN DAN EVALUASI INFORMASI TENTANG POTENSI ANCAMAN BARU misal MENINJAU PRODUK DAN JASA PENDORONG SARAN KEAMANAN
5. Filter lalu lintas masuk, seperti email dan unduhan, untuk melindungi dari informasi yang tidak diinginkan (misalnya, spyware, email phishing).
6. Melakukan pelatihan berkala tentang malware dalam penggunaan email dan internet. Latih pengguna untuk tidak menginstal perangkat lunak yang dibagikan atau tidak disetujui.

BAB 5
DSS05.02 Mengelola keamanan Dari Keterangan Keterangan Ke

jaringan dan konektivitas.
APO01.06 Pedoman klasifikasi Kebijakan keamanan konektivitas APO01.04
Gunakan langkah-langkah keamanan dan prosedur
data
manajemen terkait untuk melindungi informasi melalui semua
metode konektivitas. APO09.03 SLA Hasil uji penetrasi MEA02.08
Kegiatan
1. Berdasarkan penilaian risiko dan persyaratan bisnis, buat dan pertahankan kebijakan keamanan konektivitas.
2. Izinkan hanya perangkat resmi yang memiliki akses ke informasi perusahaan dan jaringan perusahaan. Konfigurasikan perangkat ini untuk memaksa entri kata sandi.
3. Menerapkan mekanisme pemfilteran jaringan, seperti firewall dan perangkat lunak pendeteksi intrusi, dengan kebijakan yang sesuai untuk mengontrol dan
lalu lintas keluar.
4. Enkripsi informasi dalam perjalanan sesuai dengan klasifikasinya.
5. Terapkan protokol keamanan yang disetujui ke konektivitas jaringan.
6. Konfigurasi peralatan jaringan dengan cara yang aman.
7. Membangun mekanisme terpercaya untuk mendukung pengiriman dan penerimaan informasi yang aman.
8. Melakukan pengujian penetrasi secara berkala untuk mengetahui kecukupan proteksi jaringan.
9. Melakukan pengujian keamanan sistem secara berkala untuk mengetahui kecukupan perlindungan sistem.
DSS05.03 Mengelola keamanan titik akhir. Dari Keterangan Keterangan Ke

Pastikan bahwa titik akhir (misalnya, laptop, desktop, server,
APO03.02 Model arsitektur informasi Kebijakan keamanan APO01.04
dan perangkat seluler dan jaringan lainnya atau perangkat
untuk perangkat titik akhir
lunak) diamankan pada tingkat yang sama dengan atau lebih
besar dari persyaratan keamanan yang ditentukan dari informasi APO09.03 s/,!S
yang diproses, disimpan, atau dikirim. s3,!S
BAI09.01 Hasil pemeriksaan

fisik persediaan
DSS06.06 Laporan pelanggaran
Kegiatan
1. Konfigurasi sistem operasi dengan cara yang aman.
2. Menerapkan mekanisme penguncian perangkat.
3. Mengenkripsi informasi dalam penyimpanan sesuai dengan klasifikasinya.
4. Kelola akses dan kontrol jarak jauh.
5. Kelola konfigurasi jaringan dengan cara yang aman.
6. Menerapkan penyaringan lalu lintas jaringan pada perangkat titik akhir.
7. Melindungi integritas sistem.
8. Memberikan perlindungan fisik perangkat titik akhir.
9. Buang perangkat titik akhir dengan aman.

DSS05.04 Mengelola identitas pengguna dan akses logis. Dari Keterangan Keterangan Ke
Memastikan bahwa semua pengguna memiliki hak akses
APO01.02 Definisi peran dan tanggung Hak akses Intern
informasi sesuai dengan kebutuhan bisnis mereka dan
jawab terkait TI pengguna yang disetujui
berkoordinasi dengan unit bisnis yang mengelola hak akses mereka
sendiri dalam proses bisnis. APO03.02 Model arsitektur informasi Hasil ulasan akun pengguna dan Intern
hak istimewa
Kegiatan
1. Menjaga hak akses pengguna sesuai dengan fungsi bisnis dan persyaratan proses. Sejajarkan pengelolaan identitas dan hak akses ke
peran dan tanggung jawab yang ditentukan, berdasarkan prinsip-prinsip yang paling tidak memiliki hak istimewa, perlu dimiliki, dan perlu diketahui.
2. Secara unik mengidentifikasi semua aktivitas pemrosesan informasi berdasarkan peran fungsional, berkoordinasi dengan unit bisnis untuk memastikan bahwa semua peran konsisten
didefinisikan, termasuk peran yang didefinisikan oleh bisnis itu sendiri dalam aplikasi proses bisnis.
3. Otentikasi semua akses ke aset informasi berdasarkan klasifikasi keamanannya, berkoordinasi dengan unit bisnis yang mengelola otentikasi
dalam aplikasi yang digunakan dalam proses bisnis untuk memastikan bahwa kontrol otentikasi telah dikelola dengan benar.
4. Mengelola semua perubahan hak akses (pembuatan, modifikasi, dan penghapusan) agar berlaku pada waktu yang tepat hanya berdasarkan persetujuan dan
transaksi terdokumentasi yang disahkan oleh individu manajemen yang ditunjuk.
5. Pisahkan dan kelola akun pengguna istimewa.
6. Lakukan tinjauan manajemen secara teratur terhadap semua akun dan hak istimewa terkait.
7. Memastikan bahwa semua pengguna (internal, eksternal dan sementara) dan aktivitas mereka pada sistem TI (aplikasi bisnis, infrastruktur TI, operasi sistem,
pengembangan dan pemeliharaan) dapat diidentifikasi secara unik. Secara unik mengidentifikasi semua aktivitas pemrosesan informasi oleh pengguna.
8. Pertahankan jejak audit akses ke informasi yang diklasifikasikan sebagai sangat sensitif.
DSS05.05 Mengelola akses fisik ke aset TI. Dari Keterangan Keterangan Ke

Menetapkan dan menerapkan prosedur untuk memberikan,
Permintaan akses yang disetujui Internal
membatasi, dan mencabut akses ke tempat, bangunan, dan
area sesuai dengan kebutuhan bisnis, termasuk keadaan darurat. Akses log DSS06.03
Akses ke tempat, gedung, dan area harus DIPEROLEH
DIKENAKAN DAN DIPERHATIKAN 4 HARUS
berlaku untuk semua orang yang memasuki tempat, termasuk
staf, staf sementara, klien, vendor, pengunjung atau pihak ketiga
lainnya.
Kegiatan
1. Mengelola permintaan dan pemberian akses ke fasilitas komputasi. Permintaan akses formal harus diselesaikan dan disahkan oleh
pengelolaan situs TI, dan catatan permintaan disimpan. Formulir tersebut harus secara khusus mengidentifikasi area yang aksesnya diberikan kepada individu.
%NSURETHATACCESSPROFILESREMAINCURRENT "ASEACCESSSTO)4SITUS SERVERROOMSBUILDINGSAREASORZONESONJOBFUNGSI DAN TANGGUNG JAWAB
3. Catat dan pantau semua titik masuk ke situs TI. Daftarkan semua pengunjung, termasuk kontraktor dan vendor, ke situs.
4. Instruksikan semua personel untuk menampilkan identifikasi yang terlihat setiap saat. Mencegah penerbitan kartu identitas atau lencana tanpa otorisasi yang tepat.
5. Mengharuskan pengunjung untuk dikawal setiap saat saat berada di lokasi. Jika seorang individu yang tidak didampingi dan tidak dikenal yang tidak mengenakan identifikasi staf diidentifikasi,
petugas keamanan waspada.
6. Batasi akses ke situs TI yang sensitif dengan menetapkan batasan perimeter, seperti pagar, dinding, dan perangkat keamanan di pintu interior dan eksterior.
Pastikan perangkat merekam entri dan memicu alarm jika terjadi akses yang tidak sah. Contoh perangkat tersebut termasuk lencana atau kartu kunci, papan tombol, televisi sirkuit tertutup
dan pemindai biometrik.
7. Melakukan pelatihan kesadaran keamanan fisik secara berkala.

BAB 5
DSS05.06 Mengelola dokumen sensitif dan Dari Keterangan Keterangan Ke

perangkat keluaran.
APO03.02 Model arsitektur informasi Inventarisasi dokumen Intern
Menetapkan perlindungan fisik yang sesuai, praktik akuntansi,
dan perangkat sensitif
dan manajemen inventaris atas aset TI yang sensitif, seperti
formulir khusus, instrumen yang dapat dinegosiasikan, printer Hak akses Intern
tujuan khusus, atau token keamanan.
Kegiatan
1. Menetapkan prosedur untuk mengatur penerimaan, penggunaan, pemindahan dan pembuangan formulir khusus dan alat keluaran ke dalam, di dalam dan di luar perusahaan.
2. Tetapkan hak akses ke dokumen sensitif dan perangkat keluaran berdasarkan prinsip hak istimewa paling rendah, menyeimbangkan risiko dan persyaratan bisnis.
3. Buat inventarisasi dokumen sensitif dan perangkat keluaran, dan lakukan rekonsiliasi rutin.
4. Menetapkan perlindungan fisik yang sesuai atas formulir khusus dan perangkat sensitif.
5. Hancurkan informasi sensitif dan lindungi perangkat output (misalnya, degaussing media elektronik, penghancuran fisik perangkat memori, pembuatan
penghancur kertas atau keranjang kertas terkunci tersedia untuk menghancurkan formulir khusus dan kertas rahasia lainnya).
DSS05.07 Memantau infrastruktur untuk Dari Keterangan Keterangan Ke

kejadian terkait keamanan.
Log peristiwa keamanan Intern
Menggunakan alat deteksi intrusi, pantau infrastruktur untuk akses
yang tidak sah dan pastikan bahwa setiap peristiwa terintegrasi Karakteristik insiden Intern
dengan pemantauan peristiwa umum dan manajemen insiden. keamanan
Tiket insiden keamanan DSS02.02
Kegiatan
1. Mencatat kejadian terkait keamanan yang dilaporkan oleh alat pemantauan keamanan infrastruktur, mengidentifikasi tingkat informasi yang akan direkam berdasarkan
pertimbangan risiko. Pertahankan mereka untuk jangka waktu yang tepat untuk membantu penyelidikan di masa depan.
2. Tetapkan dan komunikasikan sifat dan karakteristik insiden terkait keamanan potensial sehingga dapat dengan mudah dikenali dan dampaknya
dipahami untuk memungkinkan respons yang sepadan.
3. Tinjau log peristiwa secara teratur untuk kemungkinan insiden.
4. Menjaga prosedur pengumpulan bukti sesuai dengan aturan bukti forensik lokal dan memastikan bahwa semua staf mengetahui persyaratannya.
5. Pastikan bahwa tiket insiden keamanan dibuat tepat waktu saat pemantauan mengidentifikasi potensi insiden keamanan.
)3/ )%# Kode praktik untuk manajemen keamanan informasi
.)3430 2EV Kontrol Keamanan yang Direkomendasikan untuk Sistem Informasi Federal AS


BAB 5
Area: Manajemen
DSS06 Kelola Kontrol Proses Bisnis Deskripsi Proses Domain: Pengiriman, Layanan, dan Dukungan
Mendefinisikan dan memelihara kontrol proses bisnis

yang tepat untuk memastikan bahwa informasi yang terkait dan diproses oleh proses bisnis internal atau outsourcing memenuhi semua persyaratan kontrol informasi yang relevan.
Mengidentifikasi persyaratan pengendalian informasi yang relevan dan mengelola serta mengoperasikan pengendalian yang memadai untuk memastikan bahwa informasi dan
pemrosesan informasi memenuhi persyaratan ini.
Pernyataan Tujuan Proses Menjaga

integritas informasi dan keamanan aset informasi yang ditangani dalam proses bisnis di perusahaan atau dialihdayakan.

penilaian risiko
s0ERCENTOFENTERPRISERISKASSESSMENTTERMASUK )4 RELATEDRISK
07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis s.UMBEROFBUSINESSDISRUPTIONSDUETO)4SERVICEINSIDENTS

s0ERCENTOFBUSINESSSTAKEHOLDERSPERTANYAAN SERTIFIKAT LAYANAN
MEETOSEDELIS DIPERTUNJUKKAN )4 LAYANAN SERENTAK LAYANAN SERTIFIKAT
LAYANAN YANG DIPERTUNJUKKAN VERSI PENGGUNA
1. Cakupan dan efektivitas pengendalian kunci untuk memenuhi kebutuhan s0ERCENTOFCOMPLETEDINVENTORYOFCRITICALPROCESSESANDKEYCONTROLS

bisnis untuk memproses informasi sudah lengkap. s0ERCENTOFCOVERAGEOFKEYCONTROLSWITHINTESTPLANS
s.UMBEROFINCIDENTSANDAUDITREPORTFINDINGSINDICATINGFAILUREOF key
controls
2. Inventarisasi peran, tanggung jawab, dan hak akses diselaraskan dengan s0ERCENTOFBUSINESSPROCESSROLESDIKATANDATAKSESHAKAKSESANDLEVELS
kebutuhan bisnis resmi. of authority s0ERCENTOFBUSINESSPROCESSROLESwithCLEARSEPARATIONOFDUTIES
s.UMBEROFINCIDENTSANDAUDITMENEMUKANSDUETOAKSESORPEMISAHAN
pelanggaran tugas
3. Transaksi bisnis disimpan sepenuhnya dan seperti yang dipersyaratkan dalam log. s0ERCENTOFCOMPLETENESSOFTRACEABLETRANSACTIONLOG
s.UMBEROFINCIDENTWHERETRANSACTIONHISTORYTIDAK DAPAT DITUKAR

Bagan RACI DSS06
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi

DSS06.01
Menyelaraskan aktivitas pengendalian

CCCAR Saya Saya CCC C CC C
yang tertanam dalam proses bisnis dengan
TUJUAN ENTERPRISE
DSS06.02
Mengontrol pemrosesan RRAR Saya Saya CCC C CC
informasi.
DSS06.03
Mengelola peran, tanggung R ON Saya I CCC C CR C
jawab, hak akses dan tingkat
otoritas.
DSS06.04
Saya saya CC saya C R
Mengelola kesalahan dan pengecualian.
DSS06.05
Memastikan
ITU Saya CCC C CC
ketertelusuran peristiwa
dan akuntabilitas informasi.
DSS06.06
CCCA Saya Saya CCC C CCC
Mengamankan aset informasi.
DSS06 Proses Praktik, Input/Output dan Aktivitas
DSS06.01 Menyelaraskan aktivitas pengendalian Dari Deskripsi Keterangan Ke

yang tertanam dalam proses bisnis dengan tujuan perusahaan.
APO01.06 s$ATAINTEGRITYPROCEDURESHasil tinjauan MEA02.04
Terus menilai dan memantau pelaksanaan kegiatan
s$ATACLASSIFICATION efektivitas pemrosesan
proses bisnis dan kontrol terkait, berdasarkan risiko
pedoman
perusahaan, untuk memastikan bahwa kontrol pemrosesan Analisis dan BAI06.01
selaras dengan kebutuhan bisnis. rekomendasi akar penyebab MEA02.04
MEA02.07
MEA02.08
Kegiatan
1. Mengidentifikasi dan mendokumentasikan aktivitas pengendalian proses bisnis utama untuk memenuhi persyaratan pengendalian untuk strategi, operasional, pelaporan dan
Dukungan
Layanan,
Kirim,
dan
TUJUAN KEPATUHAN
2. Memprioritaskan aktivitas pengendalian berdasarkan risiko yang melekat pada bisnis dan mengidentifikasi pengendalian utama.
3. Pastikan kepemilikan atas aktivitas pengendalian utama.
4. Terus memantau kegiatan pengendalian secara end-to-end untuk mengidentifikasi peluang untuk perbaikan.
5. Terus meningkatkan desain dan operasi pengendalian proses bisnis.

BAB 5
DSS06.02 Mengontrol pemrosesan informasi. Dari Keterangan Keterangan Ke

Mengoperasikan pelaksanaan aktivitas proses bisnis dan kontrol
BAI05.05 Rencana operasi dan penggunaan Memproses laporan kontrol Internal
terkait, berdasarkan risiko perusahaan, untuk memastikan bahwa
pemrosesan informasi valid, lengkap, akurat, tepat waktu, dan aman BAI07.02 Rencana migrasi
(yaitu, mencerminkan penggunaan bisnis yang sah dan sah).
Kegiatan
1. Membuat transaksi oleh individu yang berwenang dengan mengikuti prosedur yang ditetapkan, termasuk, jika sesuai, pemisahan tugas yang memadai mengenai asal usul dan persetujuan
transaksi ini.
!MENENTUKAN ASAL TRANSAKSIDAN VERIFIKASI BAHWA
SHEHASTHEOTORITYTOORIGINATETHETRANSACTION )NPUTTRANSACTIONSINATIMELYMANNER 6ERIFYBAHWA TRANSAKSISAREACURATELENGKAPANDVALID 6ALIDATEINPUTDATAANDEDITORW

kembali untuk koreksi sedekat mungkin dengan titik asal.
4. Perbaiki dan kirim ulang data yang salah diinput tanpa mengurangi tingkat otorisasi transaksi asli. Dimana sesuai untuk
rekonstruksi, simpan dokumen sumber asli untuk jangka waktu yang sesuai.
5. Menjaga integritas dan validitas data selama siklus pemrosesan. Pastikan deteksi transaksi yang salah tidak mengganggu pemrosesan
dari transaksi yang valid.
6. Menjaga integritas data selama gangguan tak terduga dalam pemrosesan bisnis dan mengkonfirmasi integritas data setelah kegagalan pemrosesan.
(DANLEOUTPUTINANAKATA OTORISASI KIRIM KE PENERIMA YANG TEPAT DAN MELINDUNGI INFORMASI SELAMA TRANSMISI 6 ERIFIKASI KEAKURASIAN DAN
kelengkapan keluaran.
"DATA TRANSAKSI DATA ANTARA APLIKASI INTERNALADAN FUNGSI OPERASIONAL BISNIS DALAM ATAU LUAR ENTERPRISECHECKFORPROPER
alamat, keaslian asal dan integritas konten. Menjaga keaslian dan integritas selama transmisi atau pengangkutan.
DSS06.03 Mengelola peran, tanggung jawab, hak akses dan Dari Keterangan Keterangan Ke
tingkat otoritas.
EDM04.02 Tanggung jawab yang diberikan Peran dan tanggung APO01.02
Mengelola peran bisnis, tanggung jawab, tingkat wewenang, dan
untuk manajemen sumber daya jawab yang dialokasikan
pemisahan tugas yang diperlukan untuk mendukung TUJUAN
PROSES BISNIS !UTHORISEACCESSTO APO11.01 Peran, tanggung jawab, dan hak Tingkat otoritas APO01.02
setiap aset informasi yang terkait dengan proses informasi bisnis, keputusan SMM yang dialokasikan
termasuk yang berada di bawah pengawasan bisnis, TI, dan pihak
APO13.01 Pernyataan lingkup SMKI Hak akses yang dialokasikan APO07.04
ketiga. Ini memastikan bahwa bisnis mengetahui di mana data
berada dan siapa yang menangani data atas namanya. DSS05.05 Akses log
Kegiatan
!LLOCATEROLESANDRESPONSIBILITIESBASEDONAPPROVEDJOBDESCRIPTIONSANDALLOCATEDBUSINESSPROCESSACTIVITIES !
LLOCATELEVELSOFAUTHORITYFORAPPROVALOFTRANSACTIONSLIMITSANDANYOTHERDECISIONSRELATINGTOTHEBUSINESSPROCESSBASEDONAPPROVEDJOBROLES !
LLOCATEACCESSRIGHTSANDPRIVILEGESBASEDONONLYWHATISREQUIREDTOPERFORMJOBACTIVITIESBASEDONPRE DEFINEDJOBROLES 2EMOVEORREVISE

HAK AKSES SEGERA JIKA JOBROLECHESORASTAFFMEMBERLEAVESTHEBUSINESSPROCESSAREA 0ERIODICALLYREVIEWTOMEPASTITHEACCESSIS
sesuai dengan ancaman, risiko, teknologi, dan kebutuhan bisnis saat ini.
4. Mengalokasikan peran untuk kegiatan sensitif sehingga ada pemisahan tugas yang jelas.
5. Memberikan kesadaran dan pelatihan mengenai peran dan tanggung jawab secara berkala agar setiap orang memahami tanggung jawabnya; pentingnya kontrol; dan integritas,
kerahasiaan, dan privasi informasi perusahaan dalam segala bentuknya.
6. Tinjau definisi kontrol akses, log, dan laporan pengecualian secara berkala untuk memastikan bahwa semua hak akses valid dan selaras dengan anggota staf saat ini dan peran yang
dialokasikan.

DSS06.04 Mengelola kesalahan dan pengecualian. Dari Keterangan Keterangan Ke

Kelola pengecualian dan kesalahan proses bisnis dan
Bukti koreksi MEA02.04
fasilitasi koreksinya. Termasuk eskalasi kesalahan dan
kesalahan dan perbaikan
pengecualian proses bisnis dan pelaksanaan tindakan korektif
yang ditentukan. Ini memberikan jaminan keakuratan dan Laporan kesalahan dan Intern
integritas proses informasi bisnis. analisis akar penyebab
Kegiatan
1. Tetapkan dan pertahankan prosedur untuk menetapkan kepemilikan, memperbaiki kesalahan, mengesampingkan kesalahan, dan menangani kondisi yang tidak seimbang.
2. Tinjau kesalahan, pengecualian dan penyimpangan.
3. Menindaklanjuti, mengoreksi, menyetujui dan mengirimkan kembali dokumen sumber dan transaksi.
4. Pertahankan bukti tindakan perbaikan.
5. Laporkan kesalahan proses informasi bisnis yang relevan secara tepat waktu untuk melakukan analisis akar penyebab dan tren.
DSS06.05 Memastikan ketertelusuran peristiwa dan Dari Keterangan Keterangan Ke

akuntabilitas Informasi.
Persyaratan retensi Intern
Memastikan bahwa informasi bisnis dapat dilacak ke peristiwa
bisnis asal dan pihak yang bertanggung jawab. Hal ini Catatan transaksi Intern
memungkinkan ketertelusuran informasi melalui siklus hidupnya
dan proses terkait. Ini memberikan jaminan bahwa informasi
yang mendorong bisnis dapat diandalkan dan telah diproses
sesuai dengan DEFINEDOBJECTIVES
Kegiatan
1. Tetapkan persyaratan retensi, berdasarkan persyaratan bisnis, untuk memenuhi kebutuhan operasional, pelaporan keuangan, dan kepatuhan.
2. Menangkap informasi sumber, bukti pendukung dan catatan transaksi.
3. Buang sumber informasi, bukti pendukung dan catatan transaksi sesuai dengan kebijakan retensi.
DSS06.06 Mengamankan aset informasi. Dari Keterangan Keterangan Ke

Mengamankan aset informasi yang dapat diakses oleh bisnis
Laporan pelanggaran DSS05.03
melalui metode yang disetujui, termasuk informasi dalam
bentuk elektronik (seperti metode yang membuat aset baru dalam
bentuk apa pun, perangkat media portabel, aplikasi pengguna,
dan perangkat penyimpanan), informasi dalam bentuk fisik
(seperti dokumen sumber atau keluaran laporan) dan informasi
selama transit. Ini menguntungkan bisnis dengan memberikan
perlindungan informasi ujung ke ujung.
Kegiatan
1. Menerapkan klasifikasi data dan penggunaan yang dapat diterima serta kebijakan dan prosedur keamanan untuk melindungi aset informasi di bawah kendali bisnis.
2. Memberikan kesadaran dan pelatihan penggunaan yang dapat diterima.
3. Membatasi penggunaan, distribusi, dan akses fisik informasi sesuai dengan klasifikasinya.
4. Identifikasi dan terapkan proses, alat, dan teknik untuk memverifikasi kepatuhan secara wajar.
5. Melaporkan kepada bisnis dan pemangku kepentingan lainnya atas pelanggaran dan penyimpangan.
.SATU

BAB 5
MONITOR, EVALUASI DAN MENILAI (MEA)

01 Memantau, mengevaluasi dan menilai kinerja dan kesesuaian.
02 Memantau, mengevaluasi dan menilai sistem pengendalian internal.
03 Memantau, mengevaluasi dan menilai kepatuhan terhadap persyaratan eksternal.


BAB 5
Area: Manajemen
MEA01 Memantau, Mengevaluasi, dan Menilai Kinerja dan Kesesuaian Domain: Memantau, Mengevaluasi, dan Menilai
Deskripsi Proses
Mengumpulkan, memvalidasi, dan mengevaluasi tujuan dan metrik bisnis, TI, dan proses. Memantau bahwa proses berjalan terhadap kinerja yang disepakati dan tujuan dan metrik
kesesuaian dan memberikan pelaporan yang sistematis dan tepat waktu.

Memberikan transparansi kinerja dan kesesuaian dan mendorong pencapaian tujuan.

penilaian risiko
s0ERCENTOFENTERPRISERISKASSESSMENTSINCLUDING)4 RELATEDRISK
07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis s.UMBEROFBUSINESSDISRUPTIONSDUETO)4SERVICEINCIDENTS

s0ERCENTOFBUSINESSSTAKEHOLDERSSATISFIEDTHAT)4SERVICEDELIVERYMEETS
agreed-on service levels
s0ERCENTOFUSERSSATISFIEDWITHTHEQUALITYOF)4SERVICEDELIVERY
11 Optimalisasi aset, sumber daya, dan kemampuan TI s&REQUENCYOFCAPABILITYMATURITYANDCOSTOPTIMISATIONASSESSMENTS

s4RENDOFASSESSMENTRESULTS
s3ATISFACTIONLEVELSOFBUSINESSAND)4EXECUTIVESWITH)4 RELATEDCOSTS
and capabilities
15 Kepatuhan TI dengan kebijakan internal s.UMBEROFINCIDENTSRELATEDTON KEPATUHANTOPOLICY

s0ERCENTOFSTAKEHOLDERSPENGERTIAN KEBIJAKAN
s0ERCENTOFPOLICIESSDUKUNG OLEH STANDAR EFEKTIFDAN
praktik kerja s&REQUENCYOFPOLICIESTINJAUANANDUPDATE
1. Sasaran dan metrik disetujui oleh pemangku kepentingan. s0ERCENTOALSANDMETRICSDISETUJUI OLEH PEMANGKU
2. Proses diukur terhadap tujuan dan metrik yang disepakati. KEPENTINGAN s0ERCENTOFPROCESSESDENGANGOALSANDMETRICS
3. Pendekatan pemantauan, penilaian dan informasi perusahaan efektif dan operasional. s0ERCENTOFPROCESSESWITEFECTIVENESSOFGOALSANDMETRICSDITINJAU
dan ditingkatkan s0ERCENTOFCRITICEDTOFRITICERSSYMONCENTOFRITICALPROCRITICAL
4. Sasaran dan metrik terintegrasi dalam sistem pemantauan perusahaan.
5. Proses pelaporan kinerja dan kesesuaian berguna dan tepat waktu. s0ERCENTOFPERFORMANCELAPORANDIKIRIMDIJADWALKAN

Bagan RACI MEA01
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
MEA01.01
Menetapkan pendekatan IC ARRR Saya CCCR I CC ICI Saya Saya
pemantauan.
MEA01.02
Tetapkan target kinerja Saya Saya saya AR Saya C CCRR IRI Saya Saya
dan kesesuaian.
MEA01.03
Mengumpulkan dan
CR Saya C RR IRI Saya Saya
memproses data kinerja

dan kesesuaian.
MEA01.04
DENGAN C CCCCCRRCRCCC
Menganalisis dan melaporkan kinerja.
MEA01.05
Memastikan pelaksanaan tindakan Saya Saya Saya saya CR C CCCA CRRCRCCC
korektif.
MEA01 Proses Praktek, Input/Output dan Kegiatan
MEA01.01 Menetapkan pendekatan pemantauan. Dari Deskripsi Keterangan Ke

Terlibat dengan pemangku kepentingan untuk membangun dan
EDM05.01 s2EPORTINGAND Persyaratan pemantauan Intern
memelihara PENDEKATAN PEMANTAUAN FINETHEOBJECTIVESSCOPEAND
prinsip komunikasi
metode untuk mengukur solusi bisnis dan layanan PENGIRIMAN Sasaran dan metrik pemantauan Intern
DAN KONTRIBUSITOENTERPRISEOBJEKTIF Mengintegrasikan yang disetujui
s%VALUATIONOFENTERPRISE
pendekatan ini dengan sistem manajemen kinerja perusahaan.
persyaratan pelaporan
EDM05.02 Aturan untuk memvalidasi

dan menyetujui laporan wajib
EDM05.03 Penilaian efektivitas pelaporan
Kegiatan
1. Identifikasi pemangku kepentingan (misalnya, manajemen, pemilik proses, dan pengguna).
%NGAGEDENGAN PEMEGANGSTAKEDANDKOMUNIKASITHENTERPRISERPERSYARATANDANDOBJECTIVESFORMONITORINGAGGREGASIDAN PELAPORAN MENGGUNAKANCOMMON

definisi (misalnya, glosarium perusahaan, metadata dan taksonomi), baseline dan benchmarking.
3. Menyelaraskan dan terus memelihara pendekatan pemantauan dan evaluasi dengan pendekatan perusahaan dan alat yang akan digunakan untuk pengumpulan data dan
pelaporan perusahaan (misalnya, aplikasi intelijen bisnis).
4. Menyetujui tujuan dan metrik (misalnya, kesesuaian, kinerja, nilai, risiko), taksonomi (klasifikasi dan hubungan antara tujuan dan metrik)
dan penyimpanan data (bukti).
5. Menyetujui manajemen siklus hidup dan proses kontrol perubahan untuk pemantauan dan pelaporan. Sertakan peluang peningkatan untuk pelaporan, metrik,
pendekatan, baseline dan benchmarking.
6. Meminta, memprioritaskan, dan mengalokasikan sumber daya untuk pemantauan (mempertimbangkan kesesuaian, efisiensi, efektivitas, dan kerahasiaan).
7. Secara berkala memvalidasi pendekatan yang digunakan dan mengidentifikasi pemangku kepentingan, persyaratan, dan sumber daya baru atau yang diubah.
Mengevaluasi
Memantau,
Menilai
dan

BAB 5
MEA01 Proses Praktik, Input/Output dan Kegiatan (lanjutan)
MEA01.02 Tetapkan target kinerja dan Dari Keterangan Keterangan Ke

kesesuaian.
APO01.07 Sasaran kinerja dan metrik Memantau target Semua APO
Bekerja dengan pemangku kepentingan untuk menentukan,
untuk proses Semua BAI
meninjau, memperbarui, dan menyetujui target kinerja dan
pelacakan peningkatan Semua DSS
kesesuaian secara berkala dalam sistem pengukuran kinerja.
Segala hal
Kegiatan
1. Tetapkan dan tinjau secara berkala dengan pemangku kepentingan tujuan dan metrik untuk mengidentifikasi item yang hilang secara signifikan dan menentukan kewajaran target
dan toleransi.
2. Mengkomunikasikan perubahan yang diusulkan pada target dan toleransi kinerja dan kesesuaian (berkaitan dengan metrik) dengan pemangku kepentingan uji tuntas utama
(misalnya, hukum, audit, SDM, etika, kepatuhan, keuangan).
3. Publikasikan target dan toleransi yang diubah kepada pengguna informasi ini.
4. Mengevaluasi apakah tujuan dan metrik sudah memadai, yaitu spesifik, terukur, dapat dicapai, relevan, dan terikat waktu (SMART).
MEA01.03 Mengumpulkan dan memproses data kinerja dan Dari Keterangan Keterangan Ke
kesesuaian.
APO01.07 Penilaian kemampuan Data pemantauan yang diproses Internal
Kumpulkan dan proses data yang tepat waktu dan akurat selaras
proses
dengan pendekatan perusahaan.
APO05.04 Laporan kinerja portofolio
investasi
APO09.04 Laporan kinerja

tingkat layanan
APO10.05 Hasil tinjauan pemantauan

kepatuhan pemasok
BAI01.06 Hasil review kinerja program
BAI04.04 Laporan tinjauan pemantauan

ketersediaan, kinerja, dan
kapasitas

keberhasilan
DSS01.05 Laporan penilaian fasilitas
dan laporan tren
s)NCIDENTSTATUSAND
laporan tren
Kegiatan
1. Kumpulkan data dari proses yang ditentukan—otomatis, jika memungkinkan.
2. Menilai efisiensi (usaha dalam kaitannya dengan wawasan yang diberikan) dan kesesuaian (kegunaan dan makna) dan memvalidasi integritas (keakuratan dan kelengkapan)
data yang dikumpulkan.
3. Data agregat untuk mendukung pengukuran metrik yang disepakati.
!LIGNAGGREGATEDATATOPERUSAHAANPRISERPENDEKATANPENDEKATANTUJUAN
5. Gunakan alat dan sistem yang sesuai untuk pemrosesan dan format data untuk analisis.

MEA01 Proses Praktik, Input/Output dan Kegiatan (lanjutan)
MEA01.04 Menganalisis dan melaporkan kinerja. Dari Keterangan Keterangan Ke
Tinjau dan laporkan kinerja secara berkala terhadap target,

Laporan kinerja EDM01.03
menggunakan metode yang memberikan pandangan menyeluruh
Semua APO
tentang kinerja TI dan sesuai dengan sistem pemantauan
Semua BAI
perusahaan.
Semua DSS
Segala hal
Kegiatan
1. Merancang laporan kinerja proses yang ringkas, mudah dipahami, dan disesuaikan dengan berbagai kebutuhan manajemen dan audiens. Memfasilitasi pengambilan keputusan yang
efektif dan tepat waktu (misalnya, kartu skor, laporan lampu lalu lintas) dan memastikan bahwa sebab dan akibat antara tujuan dan metrik dikomunikasikan dengan cara yang dapat
dimengerti.
2. Bandingkan nilai kinerja dengan target dan tolok ukur internal dan, jika memungkinkan, dengan tolok ukur eksternal (industri dan pesaing utama).
3. Merekomendasikan perubahan pada tujuan dan metrik, jika sesuai.
4. Mendistribusikan laporan kepada pemangku kepentingan terkait.
5. Menganalisis penyebab penyimpangan terhadap target, memulai tindakan perbaikan, menetapkan tanggung jawab untuk perbaikan, dan menindaklanjuti. Pada waktu yang tepat, tinjau semua
penyimpangan dan cari akar penyebab, jika perlu. Dokumentasikan masalah untuk panduan lebih lanjut jika masalah berulang. Hasil dokumen.
6. Jika memungkinkan, hubungkan pencapaian target kinerja dengan sistem kompensasi penghargaan organisasi.
Masukan Praktek Manajemen MEA01.05 Memastikan pelaksanaan tindakan korektif Keluaran
Deskripsi. Dari Keterangan Ke
EDM05.02 Pedoman eskalasi Tindakan perbaikan Semua APO

Membantu pemangku kepentingan dalam mengidentifikasi, memulai, dan melacak tindakan korektif untuk mengatasi anomali.
dan tugas Semua BAI
Semua DSS
Segala hal
APO01.08 .ON KEPATUHAN Status dan hasil EDM01.03

tindakan perbaikan tindakan
Kegiatan
2EVIEWMANAGEMENTRESPONSESOPTIONSANDRECOMMENDATIONSTOADDRESSMasalahSANDMAJORDEVIASI
2. Pastikan bahwa penugasan tanggung jawab untuk tindakan korektif dipertahankan.
3. Melacak hasil dari tindakan yang dilakukan.
4. Melaporkan hasilnya kepada pemangku kepentingan.
MEA01 Panduan Terkait
)3/ )%# 6.2 Pelaporan layanan
)4),6 s
3ERVICE2EPORTING
s 3ERVICE-EASUREMENT

BAB 5
Area: Manajemen
MEA02 Memantau, Mengevaluasi dan Menilai Sistem Pengendalian Internal Domain: Memantau, Mengevaluasi, dan Menilai
Deskripsi Proses Secara

terus menerus memantau dan mengevaluasi lingkungan pengendalian, termasuk penilaian mandiri dan tinjauan jaminan independen. Memungkinkan manajemen untuk mengidentifikasi
kekurangan dan ketidakefisienan pengendalian dan untuk memulai tindakan perbaikan. Merencanakan, mengatur dan memelihara standar untuk penilaian pengendalian internal dan
kegiatan jaminan.

Memperoleh transparansi bagi pemangku kepentingan utama tentang kecukupan sistem pengendalian internal dan dengan demikian memberikan kepercayaan dalam operasi, kepercayaan pada
PRESTASIOFENTERPRISEOBJEKTIFSANDANAPENGERTIAN YANG CUKUP RISIKO FRESIDUAL
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN FINTING dan
eksternal Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan Kepatuhan yang Diprioritaskan
RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN penilaian risiko
s0ERCENTOFENTERPRISERISKASSESSMENT TERMASUK )4 RISIKO

BERKAITAN s&REQUENCYOFUPDATEOFRISKPROFILE
15 Kepatuhan TI dengan kebijakan internal s.UMBEROFINCIDENTRELATEDDON COMPLIANCETOPOLICY

s0ERCENTOFSTAKEHOLDERSPENGERTIANPENGERTIAN DAN
KEBIJAKANSTANDRECIESSUPPORTOF POLISI
1. Proses, sumber daya dan informasi memenuhi persyaratan sistem pengendalian s0ERCENTOFPROCESSESDENGAN OUTPUTMETINGTARGET
internal perusahaan. TERJAMIN dalam toleransi s0ERCENTOFPROCESSESDIJAMIN
SESUAI DENGAN TARGET KONTROL INTERNAL
2. Semua inisiatif assurance direncanakan dan dilaksanakan secara efektif. s0ERCENTOFASSURANCEINITIATIVEFOLLOWINGAPPROVEDAS JAMINAN
program dan standar rencana
3. Jaminan independen bahwa sistem pengendalian internal beroperasi s0ERCENTOFPROCESSESRECEIVINGINDEPENDENTREVIEW

dan efektif disediakan.
4. Pengendalian internal ditetapkan dan kekurangan diidentifikasi dan s.UMBEROFWEAKNESSESIDENTIFIEDBYEKSTERNALKUALIFIKASIDAN

dilaporkan. laporan sertifikasi s.UMBEROFMAJORPELANGGARAN INTERNALCONTROL
s4IMEBETWEENINTERNALCONTROLDEFICIENCYOCCURRENCEANDREPORTING

Bagan RACI MEA02
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
MEA02.01
DI SINI CR R R RRA I RRRRRRR
Memantau pengendalian internal.
MEA02.02
Meninjau efektivitas Saya IRI AR I Saya Saya RRC C CCC
pengendalian proses bisnis.
MEA02.03
Lakukan penilaian DI SINI CR R R RRA I RRRRRRR
mandiri kontrol.
MEA02.04
Mengidentifikasi dan melaporkan DI SINI CR R Saya Saya RRA I RRRRRRR

kekurangan pengendalian.
MEA02.05
Pastikan bahwa penyedia jaminan R TAHUN
independen dan berkualitas.
MEA02.06
SEBUAH CR C CCRCCCCCCCCC
Merencanakan inisiatif jaminan.
MEA02.07
RRR C CARCCCCCCCCC
Inisiatif jaminan ruang lingkup.
MEA02.08
Saya Saya CR C Saya Saya CARCCCCCCCCC
Jalankan inisiatif jaminan.
MEA02.01 Memantau pengendalian internal. Dari Keterangan Keterangan Ke

Terus memantau, membandingkan, dan meningkatkan
APO12.04 Hasil penilaian risiko pihak Hasil pemantauan dan EDM01.03
lingkungan kontrol TI dan kerangka kontrol untuk memenuhi
ketiga tinjauan pengendalian internal Semua APO
TUJUAN ORGANISASI
Semua BAI
Semua DSS
Segala hal
APO13.03 laporan audit SMKI Hasil benchmarking dan EDM01.03

evaluasi lainnya Semua APO
Di luar standar Industri COBIT dan praktik yang
Semua BAI
baik
Semua DSS
Segala hal
Kegiatan
1. Melakukan kegiatan pemantauan dan evaluasi pengendalian internal berdasarkan standar tata kelola organisasi dan kerangka kerja yang diterima industri dan
praktek. Meliputi pemantauan dan evaluasi efisiensi dan efektivitas tinjauan pengawasan manajerial.
2. Pertimbangkan evaluasi independen dari sistem pengendalian internal (misalnya, oleh audit internal atau rekan-rekan).
)DENTIFIKASI BATASNYA)4SISTEM KONTROL INTERNAL misal: PERTIMBANGAN BAGAIMANA ORGANISASI)4 KONTROL INTERNAL PEMASANGAN KE AKUN OUTSOURCEDAND ATAU
pengembangan lepas pantai atau kegiatan produksi).
4. Memastikan bahwa aktivitas pengendalian ada dan pengecualian segera dilaporkan, ditindaklanjuti dan dianalisis, dan tindakan korektif yang tepat diprioritaskan dan
diterapkan sesuai dengan profil manajemen risiko (misalnya, mengklasifikasikan pengecualian tertentu sebagai risiko utama dan lainnya sebagai non- risiko utama).
5. Memelihara sistem pengendalian internal TI, dengan mempertimbangkan perubahan yang sedang berlangsung dalam bisnis dan risiko TI, lingkungan pengendalian organisasi, bisnis yang relevan
dan proses TI, dan risiko TI. Jika ada kesenjangan, evaluasi dan rekomendasikan perubahan.
Mengevaluasi
Memantau,
Menilai
dan
6. Secara teratur mengevaluasi kinerja kerangka kontrol TI, membandingkan dengan standar yang diterima industri dan praktik yang baik. Mempertimbangkan
adopsi formal pendekatan perbaikan terus-menerus untuk pemantauan pengendalian internal.
!SSESTATUSPenyedia LAYANAN EKSTERNAL KONTROL INTERNAL DAN KONFIRMASI BAHWA PENYEDIA LAYANAN MEMATUHI LEGAL DAN PERSYARATAN PERATURANDAN
kewajiban kontrak.

BAB 5
MEA02 Praktik Proses, Input/Output dan Kegiatan (lanjutan)
MEA02.02 Meninjau efektivitas pengendalian Dari Keterangan Keterangan Ke

proses bisnis.
BAI05.06 Hasil audit kepatuhan Bukti efektivitas Intern
Tinjau operasi pengendalian, termasuk tinjauan pemantauan dan
pengendalian
pengujian bukti, untuk memastikan bahwa pengendalian dalam BAI05.07 Ulasan penggunaan operasional
proses bisnis beroperasi secara efektif. Meliputi aktivitas untuk
memelihara bukti operasi pengendalian yang efektif melalui
mekanisme seperti pengujian pengendalian secara berkala,
pemantauan pengendalian berkelanjutan, penilaian independen,
pusat komando dan kendali, dan pusat operasi jaringan. Ini memberi
bisnis jaminan efektivitas kontrol untuk memenuhi persyaratan yang
terkait dengan tanggung jawab bisnis, peraturan, dan sosial.
Kegiatan
5PENGERTIAN DAN PRIORITAS SERISKTOORGANISASI TUJUAN
2. Identifikasi kontrol utama dan kembangkan strategi yang cocok untuk memvalidasi kontrol.
3. Mengidentifikasi informasi yang secara persuasif akan menunjukkan apakah lingkungan pengendalian internal beroperasi secara efektif.
4. Mengembangkan dan menerapkan prosedur hemat biaya untuk menentukan bahwa informasi persuasif didasarkan pada kriteria informasi.
5. Memelihara bukti efektivitas pengendalian.
MEA02.03 Lakukan penilaian mandiri kontrol. Dari Keterangan Keterangan Ke

Mendorong manajemen dan pemilik proses untuk mengambil
Rencana dan kriteria Semua APO
kepemilikan positif atas peningkatan kontrol melalui program
penilaian diri Semua BAI
penilaian diri yang berkelanjutan untuk mengevaluasi
Semua DSS
KELENGKAPAN DAN EFEKTIFITAS MANAJEMEN
Segala hal
kontrol atas proses, kebijakan dan kontrak.
Hasil Intern
penilaian diri
Hasil review penilaian diri EDM01.03

Semua APO
Semua BAI
Semua DSS
Segala hal
Kegiatan
1. Mempertahankan rencana dan ruang lingkup dan mengidentifikasi kriteria evaluasi untuk melakukan penilaian mandiri. Rencanakan komunikasi hasil penilaian diri
proses untuk bisnis, TI dan manajemen umum dan dewan. Pertimbangkan standar audit internal dalam desain penilaian mandiri.
2. Menentukan frekuensi penilaian mandiri secara berkala, dengan mempertimbangkan keseluruhan efektivitas dan efisiensi pemantauan berkelanjutan.
!TANDA TANGGUNG JAWAB UNTUK PENILAIAN DIRI UNTUK SESUATU YANG TEPAT PASTI OBJEKTIFITAS DAN KOMPETENSI
0ROVIDEFORINDEPENDENTREVIEWSTOENSUREOBJEKTIVITAS PENILAIAN DIRI SENDIRI DAN AKTIFKANBERBAGI PENGENDALIAN INTERNAL PRAKTEK BAIK DARI
perusahaan lain.
5. Bandingkan hasil penilaian diri dengan standar industri dan praktik yang baik.
6. Meringkas dan melaporkan hasil penilaian diri dan benchmarking untuk tindakan perbaikan.
7. Tetapkan pendekatan yang disepakati dan konsisten untuk melakukan penilaian diri pengendalian dan koordinasi dengan auditor internal dan eksternal.

MEA02.04 Mengidentifikasi dan melaporkan kekurangan pengendalian. Dari Keterangan Keterangan Ke

Mengidentifikasi kekurangan pengendalian dan menganalisis dan
APO11.0 Akar penyebab kegagalan Kontrol kekurangan Semua APO
mengidentifikasi akar penyebab yang mendasarinya. Tingkatkan kekurangan
pengiriman kualitas Semua BAI
kontrol dan laporkan kepada pemangku kepentingan.
Semua DSS
APO12.06 Akar penyebab terkait risiko
Segala hal
DSS06.01 s2OOTCAUSEANALYSESAND Tindakan perbaikan Semua APO
rekomendasi Semua BAI
s2ESULTSOFPROCESSING Semua DSS
ulasan efektivitas Segala hal
DSS06.04 Bukti koreksi

kesalahan dan perbaikan
Kegiatan
1. Mengidentifikasi, melaporkan dan mencatat pengecualian kontrol, dan menetapkan tanggung jawab untuk menyelesaikannya dan melaporkan statusnya.
2. Pertimbangkan risiko perusahaan terkait untuk menetapkan ambang batas untuk eskalasi pengecualian dan kerusakan kontrol.
3. Komunikasikan prosedur untuk eskalasi pengecualian kontrol, analisis akar penyebab, dan pelaporan kepada pemilik proses dan pemangku kepentingan TI.
4. Putuskan pengecualian kontrol mana yang harus dikomunikasikan kepada individu yang bertanggung jawab atas fungsi tersebut dan pengecualian mana yang harus ditingkatkan.
Beri tahu pemilik proses dan pemangku kepentingan yang terpengaruh.
5. Tindak lanjuti semua pengecualian untuk memastikan bahwa tindakan yang disepakati telah ditangani.
6. Mengidentifikasi, memulai, melacak dan mengimplementasikan tindakan perbaikan yang timbul dari penilaian dan pelaporan pengendalian.
Dari Keterangan Keterangan Ke
MEA02.05 Pastikan bahwa penyedia jaminan independen Hasil evaluasi penyedia Intern
dan berkualitas. asurans
Memastikan bahwa entitas yang melakukan assurance
independen dari fungsi, kelompok, atau organisasi dalam ruang
lingkupnya. Entitas yang melakukan assurance harus menunjukkan
sikap dan penampilan yang sesuai, kompetensi dalam keterampilan
dan pengetahuan yang diperlukan untuk melakukan assurance, dan
kepatuhan terhadap kode etik dan standar profesional.
Kegiatan
1. Menetapkan kepatuhan terhadap kode etik dan standar yang berlaku (misalnya, Kode Etik Profesional ISACA) dan (khusus industri dan geografi)
ASSURANCESTANDARDSE G )4!UDITAND!SURANCE3TANDARDSOF)3!#!DANTHE)INTERNATIONAL!UDITINGAND!SURANCE3TANDARDS"OARD S )!!3" SInternational
Framework for Assurance Engagement (IAASB Assurance Framework).
2. Menetapkan independensi penyedia assurance.
3. Menetapkan kompetensi dan kualifikasi penyelenggara assurance.
MEA02.06 Merencanakan inisiatif jaminan. Dari Keterangan Keterangan Ke

0LANASSURANCEINITIATIVEBASEDONENTERPRISEOBJECTIVES
BAI01.05 Rencana audit program Penilaian tingkat tinggi Intern
dan prioritas strategis, risiko bawaan, kendala sumber
daya, dan pengetahuan yang cukup tentang perusahaan. DSS01.02 Rencana jaminan independen Rencana jaminan EDM01.03
Semua APO
Semua BAI
Semua DSS
Segala hal
Kriteria penilaian Intern
Kegiatan
$ETERMINEHEINTENDEDUSERSOFTHEASSURANCEINITIATIVEOUTPUTANDHEOBJECTTINJAUAN
0ERFORMASI PENILAIAN RISIKO TINGKAT TINGGIDAN PENILAIAN ORAS KEMAMPUAN UNTUK DIAGNOSERISKIDENTIFIKASIKRITIS)4PROSES
3PILIHKUSTOMISEANDREACHREMENTONTHECONTROLOBJECTIVEFORCRITICALPROCESSEST YANG AKAN MENJADI DASAR UNTUK PENILAIAN KONTROL

BAB 5
MEA02.07 Inisiatif jaminan ruang lingkup. Dari Keterangan Keterangan Ke
Mendefinisikan dan menyetujui dengan manajemen tentang ruang

APO11.0 Akar penyebab kegagalan Lingkup tinjauan jaminan Intern
lingkup TUJUAN ASSURANCEINITIATIVEBASEDONTHEASSURANCE
pengiriman kualitas
APO12.06 Akar penyebab terkait risiko Rencana pertunangan Intern
DSS06.01 Analisis dan rekomendasi akar Praktik peninjauan Intern

penyebab jaminan
MEA03.04 Laporan masalah ketidakpatuhan

dan akar penyebabnya
Kegiatan
1. Tentukan ruang lingkup aktual dengan mengidentifikasi tujuan perusahaan dan TI untuk lingkungan yang ditinjau, rangkaian proses dan sumber daya TI, dan semua
entitas yang dapat diaudit yang relevan di dalam perusahaan dan di luar perusahaan (misalnya, penyedia layanan), jika berlaku.
2. Tentukan rencana keterlibatan dan persyaratan sumber daya.
3. Tetapkan praktik untuk mengumpulkan dan mengevaluasi informasi dari proses yang sedang ditinjau untuk mengidentifikasi kontrol yang akan divalidasi, dan temuan saat ini (kepastian
positif dan kekurangan apa pun) untuk evaluasi risiko.
4. Tetapkan praktik untuk memvalidasi desain dan hasil pengendalian dan tentukan apakah tingkat efektivitas mendukung risiko yang dapat diterima (diperlukan oleh
penilaian risiko organisasi atau proses).
5. Jika efektivitas pengendalian tidak dapat diterima, tentukan praktik untuk mengidentifikasi risiko residual (dalam persiapan untuk pelaporan).
MEA02.08 Jalankan inisiatif jaminan. Dari Keterangan Keterangan Ke

Jalankan inisiatif jaminan yang direncanakan. Laporkan
APO11.0 Akar penyebab kegagalan Lingkup yang disempurnakan Semua APO
temuan yang teridentifikasi. Memberikan pendapat jaminan
pengiriman kualitas Semua BAI
positif, jika sesuai, dan rekomendasi untuk perbaikan yang
Semua DSS
berkaitan dengan kinerja operasional yang teridentifikasi,
Segala hal
kepatuhan eksternal dan risiko residual sistem pengendalian internal.
APO12.04 Analisis risiko dan Hasil tinjauan jaminan EDM05.01
laporan profil risiko untuk EDM05.03

pemangku kepentingan Semua APO
Semua BAI
APO12.06 Akar penyebab terkait risiko
Semua DSS
DSS05.02 Hasil uji penetrasi Segala hal
DSS06.01 Analisis dan rekomendasi akar Laporan tinjauan jaminan EDM05.03

penyebab Semua APO
Semua BAI
MEA03.03 Kesenjangan kepatuhan yang teridentifikasi
Semua DSS
Segala hal
Kegiatan
2EFINETHEPENGERJAAN)4ASSURANCESUBJECT
2EFINETHESCOPEOFKEYCONTROLOBJECTIVESFORTHE)4ASSURANCESUBJECT
4ESTHEEFECTIVENESSOFTDESIGNOFTHEKEYCONTROLOBJECTIVES !LTERNATIF
TAMBAHAN PENGUJIANKONTROL HASIL TUJUAN KUNCI
5. Mendokumentasikan dampak kelemahan pengendalian.
6. Berkomunikasi dengan manajemen selama pelaksanaan inisiatif sehingga ada pemahaman yang jelas tentang pekerjaan yang dilakukan dan kesepakatan tentang dan
penerimaan temuan awal dan rekomendasi.
3 AKTIVITAS JAMINAN UPERVISETDAN PASTIKAN PEKERJAAN SELESAIKAN TUJUAN SANDISOFANAKUALITAS YANG DAPAT DITERIMA
8. Memberikan laporan kepada manajemen (sesuai dengan kerangka acuan, ruang lingkup dan standar pelaporan yang disepakati) yang mendukung hasil inisiatif dan memungkinkan fokus
yang jelas pada isu-isu kunci dan tindakan penting.
.SATU


BAB 5
Area: Manajemen
MEA03 Memantau, Mengevaluasi, dan Menilai Kepatuhan terhadap Persyaratan Eksternal Domain: Memantau, Mengevaluasi, dan Menilai
Deskripsi Proses
Mengevaluasi bahwa proses TI dan proses bisnis yang didukung TI sesuai dengan undang-undang, peraturan, dan persyaratan kontrak. Dapatkan jaminan
bahwa persyaratan telah diidentifikasi dan dipatuhi, dan integrasikan kepatuhan TI dengan kepatuhan perusahaan secara keseluruhan.

Memastikan bahwa perusahaan mematuhi semua persyaratan eksternal yang berlaku.

02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN
peraturan eksternal FINTING dan Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan
Kepatuhan yang Diprioritaskan
RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN penilaian risiko
s0ERCENTOFENTERPRISERISKASSESSMENT TERMASUK)4 RELATEDRISK

& REQUENCYOFUPDATEOFRISKPROFILE

1. Semua persyaratan kepatuhan eksternal diidentifikasi. s!VERAGETIMELAGBTWEENIDENTIFIKASI MASALAH KEPATUHAN EKSTERNAL

dan resolusi
s&REQUENCYOFCOMPLIANCETINJAUAN
2. Persyaratan kepatuhan eksternal ditangani secara memadai. s.UMBEROFCRITICALNON COMPLIANCEISUIDENTIFIEDPERTAHUN

s0ERCENTOFPROCESSOWNERSSIGNINGOFFKONFIRMASI KEPATUHAN
Bagan RACI MEA03
Papan #HIEF%XECUTIVE/
FFICER #HIEF&INANCIAL/
FFICER PERATING/
FFICER
#HIEF/ Eksekutif
bisnis "USINESS0PROCESS/
WNERS 3TRATEGY%XECUTIVE#OMMITTEE 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
Manajemen
Kantor
Nilai
#HIEF2ISK/
FFICER #HIEF)NFORMATION3ECURITY/
FFICER
Arsitektur
Dewan
%NTERPRISE2ISK#OMMITTEE (EAD(SUMBER
UMAN2 PENGANTAR
#KATA
Audit #HIEF)NFORMASI/
FFICER Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer "USINESS#ONTINUITY-
ANAGER 0RIVACY/
FFICER

MEA03.01 A2 222 2
Mengidentifikasi
persyaratan kepatuhan eksternal.
Memantau
Mengeval
Menilai
dan MEA03.02
Mengoptimalkan respons
terhadap persyaratan eksternal.
MEA03.03
#ONFIRMEXTERNALCOMPLIANCE
MEA03.04
Dapatkan jaminan
222 A 2 I
saya 22222 saya
AKU AKU AKU AKU

SAYA #
2
#
222 saya 2222222
AI 2#######2
# A 2########
kepatuhan eksternal.

MEA03.01 Mengidentifikasi Dari Keterangan Keterangan Ke

persyaratan kepatuhan eksternal.
Persyaratan kepatuhan hukum dan peraturan Daftar persyaratan kepatuhan Intern
Secara terus-menerus, mengidentifikasi dan memantau perubahan
di luar COBIT
dalam undang-undang, peraturan, dan persyaratan eksternal lokal
dan internasional lainnya yang harus dipatuhi dari perspektif TI. Log tindakan Intern
kepatuhan yang diperlukan
Kegiatan
1. Tetapkan tanggung jawab untuk mengidentifikasi dan memantau setiap perubahan persyaratan hukum, peraturan, dan kontrak eksternal lainnya yang relevan dengan penggunaan
Sumber daya TI dan pemrosesan informasi dalam bisnis dan operasi TI perusahaan.
2. Mengidentifikasi dan menilai semua persyaratan kepatuhan potensial dan dampaknya terhadap aktivitas TI di bidang-bidang seperti aliran data, privasi, kontrol internal, keuangan
pelaporan, peraturan khusus industri, kekayaan intelektual, kesehatan dan keselamatan.
3. Menilai dampak persyaratan hukum dan peraturan terkait TI pada kontrak pihak ketiga yang terkait dengan operasi TI, penyedia layanan, dan bisnis
mitra dagang.
4. Dapatkan penasihat independen, jika perlu, tentang perubahan undang-undang, peraturan, dan standar yang berlaku.
5. Memelihara log up-to-date dari semua persyaratan hukum, peraturan dan kontrak yang relevan, dampaknya dan tindakan yang diperlukan.
6. Memelihara daftar keseluruhan persyaratan kepatuhan eksternal yang harmonis dan terintegrasi untuk perusahaan.
MEA03.02 Mengoptimalkan respons Dari Keterangan Keterangan Ke

terhadap persyaratan eksternal.
Kebijakan, prinsip, APO01.07
2TINJAUAN DAN SESUAI KEBIJAKAN PRINSIP
prosedur, dan standar APO01.08
STANDARProsedur dan metodologi untuk memastikan bahwa
yang diperbarui
persyaratan hukum, peraturan dan kontrak ditangani dan
dikomunikasikan. Pertimbangkan standar industri, kode praktik Komunikasi tentang EDM01.01
yang baik, dan panduan praktik terbaik untuk adopsi dan adaptasi. persyaratan kepatuhan Semua APO
yang diubah Semua BAI
Semua DSS
Segala hal
Kegiatan
2 TINJAUAN SECARA TERATUR DAN SESUAI KEBIJAKAN PRINSIP TANPA STANDAR PROSEDUR DAN METODOLOGIUNTUK EFEKTIFNYA SIN MEMASTIKANPERLU KEPATUHAN
dan menangani risiko perusahaan dengan menggunakan pakar internal dan eksternal, sebagaimana diperlukan.
2. Mengkomunikasikan persyaratan baru dan yang diubah kepada semua personel terkait.
MEA03.03 Konfirmasi kepatuhan eksternal. Dari Keterangan Keterangan Ke

Konfirmasi kepatuhan kebijakan, prinsip, standar, prosedur dan
BAI05.06 Hasil audit kepatuhan Kesenjangan kepatuhan yang teridentifikasi MEA02.08
metodologi dengan persyaratan hukum, peraturan dan kontrak.
BAI09.05 Hasil audit lisensi terpasang Konfirmasi kepatuhan EDM01.03
BAI10.05 Penyimpangan lisensi
DSS01.04 Laporan polis asuransi
Kegiatan
1. Secara teratur mengevaluasi kebijakan, standar, prosedur, dan metodologi organisasi di semua fungsi perusahaan untuk memastikan kepatuhan terhadap
persyaratan hukum dan peraturan yang relevan terkait dengan pemrosesan informasi.
2. Mengatasi kesenjangan kepatuhan dalam kebijakan, standar dan prosedur secara tepat waktu.
3. Secara berkala mengevaluasi proses dan aktivitas bisnis dan TI untuk memastikan kepatuhan terhadap persyaratan hukum, peraturan, dan kontrak yang berlaku.
4. Tinjau secara teratur untuk pola kegagalan kepatuhan yang berulang. Bila perlu, perbaiki kebijakan, standar, prosedur, metodologi, dan
proses dan aktivitas yang terkait.

BAB 5
MEA03.04 Dapatkan jaminan kepatuhan eksternal. Dari Keterangan Keterangan Ke

Mendapatkan dan melaporkan jaminan kepatuhan dan
EDM05.02 Aturan untuk memvalidasi Laporan jaminan kepatuhan EDM01.03
kepatuhan terhadap kebijakan, prinsip, standar,
dan menyetujui laporan
prosedur, dan metodologi. Konfirmasikan bahwa tindakan korektif
wajib
untuk mengatasi kesenjangan kepatuhan ditutup tepat waktu.
EDM05.03 Penilaian efektivitas pelaporan Laporan masalah ketidakpatuhan EDM01.03
dan akar penyebabnya MEA02.07
Kegiatan
1. Mendapatkan konfirmasi kepatuhan secara berkala terhadap kebijakan internal dari pemilik bisnis dan proses TI serta kepala unit.
2. Lakukan tinjauan internal dan eksternal secara teratur (dan, jika perlu, independen) untuk menilai tingkat kepatuhan.
3. Jika diperlukan, dapatkan pernyataan dari penyedia layanan TI pihak ketiga tentang tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku.
4. Jika diperlukan, dapatkan pernyataan dari mitra bisnis tentang tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku yang terkait dengan antarperusahaan
transaksi elektronik.
5. Pantau dan laporkan masalah ketidakpatuhan dan, jika perlu, selidiki akar masalahnya.
6. Mengintegrasikan pelaporan tentang persyaratan hukum, peraturan dan kontrak di tingkat perusahaan, yang melibatkan semua unit bisnis.
.SATU


LAMPIRAN A
PEMETAAN ANTARA COBIT 5 DAN KERANGKA ISACA LEGACY
LAMPIRAN A
Gambar 13 menunjukkan kerangka kerja ISACA yang termasuk dalam COBIT 5.
Gambar 13-Kerangka ISACA Termasuk dalam COBIT 5
COBIT 4.1
Peta ke
Tujuan Kontrol
COBIT 5
Val IT 2.0
Pemerintahan dan
Manajemen Kunci Peta ke
Pengelolaan
Praktek
Praktek
Risiko TI
Pengelolaan Peta ke
Praktek
Pemetaan komponen COBIT 4.1, Val IT dan Risk IT ke COBIT 5 ditunjukkan pada gambar 14, 15 dan 16.
Gambar 14—COBIT 4.1 Tujuan Kontrol Dipetakan ke COBIT 5

COBIT 4.1 Tujuan Kontrol Tercakup dalam COBIT 5 oleh:
AC1 Persiapan dan Otorisasi Data Sumber DSS06.02; DSS06.03; BAI03.02; BAI03.03; BAI03.05; BAI03.07
AC2 Pengumpulan dan Entri Data Sumber DSS06.02
AC3 Pemeriksaan Akurasi, Kelengkapan, dan Keaslian DSS06.02
AC4 0ROCESSING)NTEGRITASAND6ALIDITAS DSS06.02
AC5 Tinjauan Keluaran, Rekonsiliasi, dan Penanganan Kesalahan DSS06.02
AC6 Otentikasi dan Integritas Transaksi DSS06.02
PO1.1 )46ALUE-ANAGEMENT EDM02
PO1.2 Keselarasan Bisnis-TI APO02.01
PO1.3 Penilaian Kemampuan dan Kinerja Saat Ini AP02.02
PO1.4 Rencana Strategis TI APO02.03-05
PO1.5 Rencana Taktis TI APO02.05
PO1.6 Manajemen Portofolio TI APO05.05
PO2.1 Model Arsitektur Informasi Perusahaan APO03.02
PO2.2 Kamus Data Perusahaan dan Aturan Sintaks Data APO03.02
PO2.3 Skema Klasifikasi Data APO03.02
PO2.4 Manajemen Integritas APO01.06
PO3.1 Perencanaan Arah Teknologi AP02.03; APO04.03
PO3.2 Rencana Infrastruktur Teknis APO02.03-05; APO04.03-05
PO3.3 Pantau Tren dan Regulasi Masa Depan EDM01.01; APO04.03
PO3.4 Standar Teknologi APO03.05
PO3.5 Dewan Arsitektur TI APO01.01
PO4.1 Kerangka Proses TI APO01.03; APO01.07
PO4.2 Komite Strategi TI APO01.01
PO4.3 Komite Pengarah TI APO01.01
PO4.4 Penempatan Organisasi Fungsi TI APO01.05
217
Gambar 14—COBIT 4.1 Tujuan Kontrol Dipetakan ke COBIT 5 (lanjutan)

COBIT 4.1 Tujuan Kontrol Struktur Dicakup dalam COBIT 5 oleh:
PO4.5 Organisasi TI APO01.01
PO4.6 Penetapan Peran dan Tanggung Jawab APO01.02
PO4.7 Tanggung Jawab untuk Jaminan Kualitas TI APO11.01
PO4.8 Tanggung Jawab untuk Risiko, Keamanan, dan Kepatuhan Dihapus—peran khusus ini tidak lagi ditetapkan secara eksplisit
sebagai praktik.
PO4.9 Kepemilikan Data dan Sistem APO01.06
PO4.10 Pengawasan APO01.02
PO4.11 Pemisahan tugas APO01.02; DSS08.02
PO4.12 Staf TI APO07.01
PO4.13 Personil IT Utama APO07.02
PO4.14 Kebijakan dan Prosedur Staf Kontrak APO07.06
PO4.15 Hubungan Prioritas APO01.01
PO5.1 Kerangka Manajemen Keuangan Dalam APO06.01
PO5.2 Anggaran TI APO06.02
PO5.3 Penganggaran TI APO06.03
PO5.4 Manajemen biaya APO06.04-05
PO5.5 Manajemen Manfaat APO05.06
PO6.1 Lingkungan Kebijakan dan Kontrol TI APO01.03
PO6.2 Kerangka Kerja Risiko dan Pengendalian TI Perusahaan EDM03.02; APO01.03
PO6.3 Manajemen Kebijakan TI APO01.03; APO01.08
PO6.4 Peluncuran Kebijakan, Standar dan Prosedur APO01.03; APO01.08
PO6.5 #OMMUNICATIONOF)4/BJECTIVESAND$IRECTION APO01.04
PO7.1 Rekrutmen dan Retensi Personil APO07.01; APO07.05
PO7.2 Kompetensi Personil APO07.03
PO7.3 Kepegawaian Peran APO01.02; APO07.01
PO7.4 Pelatihan anggota APO07.03
PO7.5 Ketergantungan pada Individu APO07.02
PO7.6 Prosedur Izin Personil APO07.01; APO07.06
PO7.7 Evaluasi Prestasi Kerja Karyawan APO07.04
PO7.8 Perubahan dan Pemutusan Pekerjaan APO07.01
PO8.1 Sistem Manajemen Mutu APO11.01
PO8.2 Standar TI dan Praktik Kualitas APO11.02
PO8.3 Standar Pengembangan dan Akuisisi AP11.02; APO11.0
PO8.4 Fokus pelanggan APO11.03
PO8.5 Perbaikan terus-menerus APO11.06
PO8.6 Pengukuran, Pemantauan, dan Peninjauan Kualitas APO11.04
PO9.1 Kerangka Manajemen Risiko TI EDM03.02; APO01.03
PO9.2 Penetapan Konteks Risiko APO12.03
PO9.3 Identifikasi Acara AP12.01; APO12.03
PO9.4 Tugas beresiko AP12.02; APO12.04
PO9.5 Respon Risiko APO12.06
PO9.6 Pemeliharaan dan Pemantauan Rencana Tindakan Risiko APO12.04-05
PO10.1 Kerangka Manajemen Program BAI01.01
PO10.2 0ROJECT-ANAGEMENT&RAMEWORK BAI01.01
PO10.3 0ROJECT-ANAGEMENT!PPROACH BAI01.01

LAMPIRAN A

COBIT 4.1 Tujuan Pengendalian Dicakup dalam COBIT 5 oleh:
PO10.4 Komitmen Pemangku Kepentingan BAI01.03
PO10.5 0ROJECT3COPE3TATEMENT BAI01.07
PO10.6 0ROJECT0HASE)NITIASI BAI01.07
PO10.7 ) TERINTEGRASI0ROJECT0LAN BAI01.08
PO10.8 0ROJECT2ESOURCES BAI01.08
PO10.9 0ROJECT2ISK-ANAGEMENT BAI01.10
PO10.10 0ROJECT1UALITY0LAN PO10.11 BAI01.09
0ROJECT#HANGE#ONTROL PO10.12 BAI01.11
0ROJECT0LANNINGOF!SURANCE-ETHODS BAI01.08
PO10.13 0ROJECT0ERFORMANCE-EASUREMENT2EPORTINGAND-ONITORING BAI01.06; BAI01.11
PO10.14 0ROJECT#LOSURE BAI01.13
AI1.1 Definisi dan Pemeliharaan Persyaratan Fungsional dan Teknis BAI02.01
Bisnis
AI1.2 Laporan Analisis Risiko BAI02.03
AI1.3 Studi Kelayakan dan Perumusan Tindakan Alternatif BAI02.02
AI1.4 Persyaratan dan Kelayakan Keputusan dan Persetujuan BAI02.04
AI2.1 Desain tingkat tinggi BAI03.01
AI2.2 Desain yang rinci BAI03.02
AI2.3 Kontrol Aplikasi dan Kemampuan Audit BAI03.05
AI2.4 Keamanan dan Ketersediaan Aplikasi BAI03.01-03; BAI03.05
AI2.5 Konfigurasi dan Implementasi Perangkat Lunak Aplikasi yang Diperoleh BAI03.03; BAI03.05
AI2.6 -AJOR5PGRADESTO%XISTING3YSTEMS BAI03.10
AI2.7 Pengembangan Perangkat Lunak Aplikasi BAI03.03-04
AI2.8 Jaminan Kualitas Perangkat Lunak BAI03.06
AI2.9 Manajemen Persyaratan Aplikasi BAI03.09
AI2.10 Pemeliharaan Perangkat Lunak Aplikasi BAI03.10
AI3.1 Rencana Akuisisi Infrastruktur Teknologi BAI03.04
AI3.2 Perlindungan dan Ketersediaan Sumber Daya Infrastruktur BAI03.03; DSS02.03
AI3.3 Pemeliharaan Infrastruktur BAI03.10
AI3.4 Lingkungan Uji Kelayakan BAI03.07-08
AI4.1 Perencanaan untuk Solusi Operasional BAI05.05
AI4.2 Transfer Pengetahuan ke Manajemen Bisnis BAI08.01-04
AI4.3 Transfer Pengetahuan ke Pengguna Akhir BAI08.01-04
AI4.4 Transfer Pengetahuan ke Staf Operasi dan Pendukung BAI08.01-04
AI5.1 Kontrol Pengadaan BAI03.04
AI5.2 Manajemen Kontrak Pemasok AP10.01; APO10.03
AI5.3 Pemilihan Pemasok APO10.02
AI5.4 Akuisisi Sumber Daya TI APO10.03
AI6.1 Ubah Standar dan Prosedur BAI06.01-04
AI6.2 Penilaian Dampak, Prioritas dan Otorisasi BAI06.01
AI6.3 Perubahan Darurat BAI06.02
AI6.4 Ubah Pelacakan dan Pelaporan Status BAI06.03
AI6.5 Ubah Penutupan dan Dokumentasi BAI06.04
AI7.1 Pelatihan BAI05.05
AI7.2 Rencana Tes BAI07.01; BAI07.03
219

AI7.3 Rencana implementasi BAI07.01
AI7.4 Lingkungan Uji BAI07.04
AI7.5 Konversi Sistem dan Data BAI07.02
AI7.6 Pengujian Perubahan BAI07.05
AI7.7 Tes Penerimaan Akhir BAI07.05
AI7.8 Promosi ke Produksi BAI07.06
AI7.9 Tinjauan pasca-implementasi BAI07.08
DS1.1 Kerangka Kerja Manajemen Tingkat Layanan APO09.01-06
DS1.2 Definisi Layanan APO09.01-03
DS1.3 Tingkatan Jasa Persetujuan APO09.04
DS1.4 Perjanjian Tingkat Operasi APO09.04
DS1.5 Pemantauan dan Pelaporan Pencapaian Tingkat Layanan APO09.05
DS1.6 Tinjauan Perjanjian dan Kontrak Tingkat Layanan APO09.06
DS2.1 Identifikasi Semua Hubungan Pemasok APO10.01
DS2.2 Manajemen Hubungan Pemasok APO10.03
DS2.3 Manajemen Risiko Pemasok APO10.04
DS2.4 Pemantauan Kinerja Pemasok APO10.05
DS3.1 Perencanaan Kinerja dan Kapasitas BAI04.03
DS3.2 Performa dan Kapasitas Saat Ini BAI04.01-02
DS3.3 Kinerja dan Kapasitas Masa Depan BAI04.01
DS3.4 Ketersediaan Sumber Daya TI BAI04.05
DS3.5 Pemantauan dan Pelaporan BAI04.04
DS4.1 Kerangka Kontinuitas TI DSS04.01-02
DS4.2 Rencana Kontinuitas TI DSS04.03
DS4.3 Sumber Daya TI yang Penting DSS04.04
DS4.4 Pemeliharaan Rencana Kontinuitas TI DSS04.02; DSS04.06
DS4.5 Pengujian Rencana Kontinuitas TI DSS04.05
DS4.6 Pelatihan Rencana Berkelanjutan DSS04.07
DS4.7 TI Distribusi Rencana Berkelanjutan TI DSS04.03
DS4.8 Pemulihan dan Pengaktifan Kembali Layanan TI DSS04.04
DS4.9 Penyimpanan Cadangan di Luar Lokasi DS4.10 DSS04.08
Tinjauan Pasca dimulainya kembali DSS04.09
DS5.1 Manajemen Keamanan TI AP13.01; APO13.03
DS5.2 Paket Keamanan TI APO13.02
DS5.3 Manajemen Identitas DSS05.04
DS5.4 Manajemen Akun Pengguna DSS05.04
DS5.5 Pengujian Keamanan, Pengawasan dan Pemantauan DSS05.07
DS5.6 Definisi Insiden Keamanan DSS02.01
DS5.7 Perlindungan Teknologi Keamanan DSS05.05
DS5.8 Manajemen Kunci Kriptografi DSS05.03
DS5.9 Pencegahan, Deteksi, dan Koreksi Perangkat Lunak Berbahaya DSS05.01
DS5.10 .ETWORK3ECURITY DSS05.02
DS5.11 Pertukaran Data Sensitif DSS05.02
DS6.1 Definisi Layanan APO06.04
DS6.2 Akuntansi TI APO06.01
220
LAMPIRAN A

COBIT 4.1 Kontrol Pemodelan dan Dicakup dalam COBIT 5 oleh:
DS6.3 Pengisian Biaya Objektif APO06.04
DS6.4 Pemeliharaan Model Biaya APO06.04
DS7.1 )DENTIFIKASI%PENDIDIKAN DAN4RAINING.EEDS APO07.03
DS7.2 Penyelenggaraan Pelatihan dan Pendidikan APO07.03
DS7.3 Evaluasi Pelatihan yang Diterima APO07.03
DS8.1 Meja pelayanan Dihapus—ITIL 3 tidak merujuk ke Service Desk sebagai proses.
DS8.2 Pendaftaran Pertanyaan Pelanggan DSS02.01-03
DS8.3 Eskalasi Insiden DSS02.04
DS8.4 Penutupan Insiden DSS02.05-06
DS8.5 Pelaporan dan Analisis Tren DSS02.07
DS9.1 Repositori Konfigurasi dan Baseline BAI10.01-02; BAI10.04; DSS02.01
DS9.2 Identifikasi dan Pemeliharaan Item Konfigurasi BAI10.03
DS9.3 Tinjauan Integritas Konfigurasi BAI10.04-05; DSS02.05
DS10.1 Identifikasi dan Klasifikasi Masalah DSS03.01
DS10.2 Pelacakan Masalah dan Resolusi DSS03.02
Penutupan Masalah DS10.3 DSS03.03-04
DS10.4 Integrasi Konfigurasi, Insiden dan Manajemen Masalah DSS03.05
DS11.1 Persyaratan Bisnis untuk Manajemen Data DSS01.01
Pengaturan Penyimpanan dan Retensi DS11.2 DSS04.08; DSS06.04
DS11.3 Sistem Manajemen Perpustakaan Media DS11.4 DSS04.08
Pembuangan DS11.5 Pencadangan dan Pemulihan DSS05.08
DS11.6 Persyaratan Keamanan untuk Manajemen Data DSS04.08
DSS01.01; DSS05.08; DSS06.05
DS12.1 Pemilihan dan Tata Letak Situs DSS01.04-05; DSS05.05
DS12.2 Tindakan Keamanan Fisik DSS05.05
DS12.3 Akses Fisik DSS05.05
DS12.4 Perlindungan Terhadap Faktor Lingkungan DSS01.04
DS12.5 Prosedur dan Instruksi Operasi Manajemen DSS01.05
DS13.1 Fasilitas Fisik DSS01.01
DS13.2 Penjadwalan Pekerjaan DSS01.01
DS13.3 Pemantauan Infrastruktur TI DS13.4 DSS01.03
Dokumen Sensitif dan Perangkat Output DSS05.06
DS13.5 Pemeliharaan Pencegahan untuk Perangkat Keras BAI09.02
ME1.1 Pendekatan Pemantauan MEA01.01
ME1.2 Definisi dan Pengumpulan Data Pemantauan MEA01.02-03
ME1.3 Metode Pemantauan MEA01.03
ME1.4 Penilaian kinerja MEA01.04
ME1.5 Pelaporan Dewan dan Eksekutif MEA01.04
ME1.6 Tindakan Perbaikan MEA01.05
ME2.1 Pemantauan Kerangka Pengendalian Internal MEA02.01-02
ME2.2 Tinjauan Pengawas MEA02.01
ME2.3 Pengecualian Kontrol MEA02.04
ME2.4 Kontrol Penilaian diri MEA02.03
ME2.5 Jaminan Pengendalian Internal MEA02.06-08
ME2.6 Pengendalian Internal pada Pihak Ketiga MEA02.01


ME2.7 Tindakan Perbaikan MEA02.04
ME3.1 Identifikasi Hukum Eksternal, Peraturan dan Kontrak MEA03.01

Persyaratan Kepatuhan
ME3.2 Optimalisasi Respons terhadap Persyaratan Eksternal MEA03.02
ME3.3 Evaluasi Kepatuhan Dengan Persyaratan Eksternal MEA03.03
ME3.4 Jaminan Kepatuhan Positif MEA03.04
ME3.5 Pelaporan Terintegrasi MEA03.04
ME4.1 Pembentukan Kerangka Tata Kelola TI EDM01
ME4.2 Keselarasan Strategis Dihapus—Dalam COBIT 5, penyelarasan dianggap sebagai hasil dari
semua kegiatan tata kelola dan manajemen.
ME4.3 6ALUE$ PENGIRIMAN EDM02
ME4.4 Pengelolaan sumber daya EDM04
ME4.5 Manajemen risiko EDM03
ME4.6 Pengukuran Kinerja EDM01.03; EDM02.03; EDM03.03; EDM04.03
ME4.7 Jaminan Independen MEA02.05-07; MEA02-08
Gambar 15—Praktik Manajemen Utama Val IT 2.0 yang Dicakup oleh COBIT 5
Praktik Manajemen Kunci Val IT 2.0 Dicakup dalam COBIT 5 oleh:
6' Mengembangkan pemahaman tentang pentingnya TI dan peran EDM01.01

tata kelola.
6' Menetapkan jalur pelaporan yang efektif. EDM01.01
6' Membentuk forum kepemimpinan. EDM01.02; APO01.01
6' Tentukan nilai untuk perusahaan. EDM02.02
6' Pastikan keselarasan dan integrasi strategi bisnis dan TI dengan tujuan APO02.01
bisnis utama.
6' Tentukan kerangka tata kelola nilai. EDM01.02
6' Menilai kualitas dan cakupan proses saat ini. APO01.07
6' Mengidentifikasi dan memprioritaskan kebutuhan proses. APO01.07
6' Mendefinisikan dan mendokumentasikan proses. APO01.07
6' Menetapkan, menerapkan dan mengkomunikasikan peran, tanggung APO01.02

jawab dan akuntabilitas.
6' Menetapkan struktur organisasi. EDM01.02; APO01.02
6' Tentukan jenis portofolio. EDM02.02
6' Tentukan kategori (dalam portofolio). EDM02.02
6' Mengembangkan dan mengkomunikasikan kriteria evaluasi (untuk setiap kategori). EDM02.02
6' Tetapkan bobot pada kriteria. EDM02.02
6' Tetapkan persyaratan untuk gerbang panggung dan ulasan lainnya EDM02.02
(untuk setiap kategori).
6' Tinjau praktik penganggaran perusahaan saat ini. APO06.03
6' Menentukan persyaratan praktik perencanaan keuangan APO06.01

manajemen nilai.
6' Identifikasi perubahan yang diperlukan. APO06.01
6' Menerapkan praktik perencanaan keuangan yang optimal untuk manajemen nilai. APO06.01
6' Identifikasi metrik utama. EDM02.03
6' Mendefinisikan proses dan pendekatan penangkapan informasi. EDM02.03
6' Tentukan metode dan teknik pelaporan. EDM02.03
6' Mengidentifikasi dan memantau tindakan peningkatan kinerja. EDM02.03
6' Menerapkan pelajaran yang didapat. EDM02.03
PM1.1 Meninjau dan memastikan kejelasan strategi dan tujuan bisnis. APO05.01

LAMPIRAN A
Gambar 15—Praktik Manajemen Utama Val IT 2.0 yang Dicakup oleh COBIT 5 (lanjutan)
Praktik Manajemen Kunci Val IT 2.0 Dicakup dalam COBIT 5 oleh:
PM1.2 Mengidentifikasi peluang bagi TI untuk mempengaruhi dan mendukung APO05.01

strategi bisnis.
PM1.3 Tentukan bauran investasi yang tepat. APO05.01
PM1.4 Menerjemahkan strategi dan tujuan bisnis ke dalam strategi dan tujuan TI. APO05.01
PM2.1 Tentukan dana investasi secara keseluruhan. APO05.02
PM3.1 Membuat dan memelihara inventaris sumber daya manusia bisnis. APO07.01
PM3.2 Memahami permintaan saat ini dan masa depan (untuk sumber daya APO07.01
manusia bisnis).
PM3.2 Identifikasi kekurangan (antara permintaan sumber daya manusia bisnis saat APO07.01
ini dan masa depan).
PM3.4 Membuat dan memelihara rencana taktis (untuk sumber daya manusia bisnis). APO07.01
PM3.5 -ONITORTINJAUANDAN SESUAIKAN ALOKASI FUNGSI BISNIS DANSTAFINGAPO07.05
PM3.6 Membuat dan memelihara inventaris sumber daya manusia TI. APO07.05
PM3.7 Memahami permintaan saat ini dan masa depan (untuk sumber daya manusia TI). APO07.05
PM3.8 Identifikasi kekurangan (antara permintaan sumber daya manusia TI APO07.05

saat ini dan masa depan).
PM3.9 Membuat dan memelihara rencana taktis (untuk sumber daya manusia TI). APO07.05
PM3.10 -ONITORREVIEWANDADJUST )4FUNGSI DANSTAFFING APO07.05
PM4.1 Mengevaluasi dan menetapkan skor relatif untuk kasus bisnis program. APO05.03
PM4.2 Buat tampilan portofolio investasi secara keseluruhan. APO05.03
PM4.3 Membuat dan mengkomunikasikan keputusan investasi. APO05.03
PM4.4 Tentukan gerbang panggung dan alokasikan dana untuk program yang dipilih. APO05.03
PM4.5 !DJUSTBUSINESSTARGETSFORECASTSANDBUDGETS APO05.03
PM5.1 Memantau dan melaporkan kinerja portofolio investasi. APO05.04
PM6.1 Mengoptimalkan kinerja portofolio investasi. APO05.04
PM6.2 Prioritaskan kembali portofolio investasi. APO05.04
IM1.1 Kenali peluang investasi. APO05.03
IM1.2 Mengembangkan kasus bisnis konsep program awal. BAI01.02
IM1.3 Mengevaluasi kasus bisnis konsep program awal. APO05.03
IM2.1 Kembangkan pemahaman yang jelas dan lengkap tentang BAI01.02

program kandidat.
IM2.2 Lakukan analisis alternatif. BAI01.02
IM3.1 Mengembangkan rencana program. BAI01.04
IM4.1 Identifikasi biaya dan manfaat siklus hidup penuh. BAI01.04
IM4.2 Mengembangkan rencana realisasi manfaat. BAI01.04
IM4.3 Lakukan tinjauan yang sesuai dan dapatkan persetujuan. BAI01.03-04
IM5.1 Kembangkan kasus bisnis program yang terperinci. BAI01.02
IM5.2 Tetapkan akuntabilitas dan kepemilikan yang jelas. BAI01.02
IM5.3 Lakukan tinjauan yang sesuai dan dapatkan persetujuan. BAI01.02-03
IM6.1 0LANPROJECTSANDRESOURCEDAN PELUNCURAN PROGRAM BAI01.05
IM6.2 Kelola program. BAI01.05
IM6.3 Lacak dan kelola manfaat. BAI01.05
IM7.1 Perbarui portofolio TI operasional. APO05.05
IM8.1 Perbarui kasus bisnis. BAI01.04
IM9.1 Memantau dan melaporkan kinerja program (penyerahan solusi). BAI01.06
IM9.2 -ONITORANDREPORTONBUSINESS MANFAAT HASIL KINERJA BAI01.06
IM9.3 Memantau dan melaporkan kinerja operasional (pengiriman layanan). BAI01.06
IM10.1 Pensiun program. BAI10.14
223
Gambar 16—Praktik Manajemen Kunci Risiko TI yang Dicakup oleh COBIT 5
Praktik Manajemen Kunci TI Risiko Lakukan Dicakup dalam COBIT 5 oleh:
RG1.1 penilaian risiko TI perusahaan. EDM03.01; APO12.02-03
RG1.2 Mengusulkan ambang batas toleransi risiko TI. EDM03.01
RG1.3 Menyetujui toleransi risiko TI. EDM03.01-02
RG1.4 Menyelaraskan kebijakan risiko TI. EDM03.01-02
RG1.5 Mempromosikan budaya sadar risiko TI. EDM03.02
RG1.6 Mendorong komunikasi yang efektif dari risiko TI. EDM03.03
RG2.1 Menetapkan dan memelihara akuntabilitas untuk manajemen risiko TI. EDM03.02
RG2.2 Mengkoordinasikan strategi risiko TI dan strategi risiko bisnis. EDM03.01-02
RG2.3 Menyesuaikan praktik risiko TI dengan praktik risiko perusahaan. EDM03.01-02
RG2.4 Menyediakan sumber daya yang memadai untuk manajemen risiko TI. EDM04.01; APO07.01; APO07.03
RG2.5 Memberikan jaminan independen atas manajemen risiko TI. EDM03.03
RG3.1 Dapatkan dukungan manajemen untuk pendekatan analisis risiko TI. EDM01.01-02; EDM03.02
RG3.2 Menyetujui analisis risiko TI. EDM03.01
RG3.3 Menanamkan pertimbangan risiko TI dalam pengambilan keputusan bisnis strategis. EDM03.01
RG3.4 Terima risiko TI. EDM03.01
RG3.5 Memprioritaskan aktivitas respons risiko TI. EDM03.02
RE1.1 Membangun dan memelihara model untuk pengumpulan data. APO12.01
RE1.2 Kumpulkan data tentang lingkungan operasi. APO12.01
RE1.3 Mengumpulkan data tentang peristiwa risiko. APO12.01
RE1.4 Identifikasi faktor risiko. APO12.01
RE2.1 Tentukan ruang lingkup analisis risiko TI. APO12.02
RE2.2 Perkirakan risiko TI. APO12.02
RE2.3 Identifikasi opsi respons risiko. APO12.02
RE2.4 Lakukan peer review analisis risiko TI. APO12.02
RE3.1 Memetakan sumber daya TI ke proses bisnis. APO12.02
RE3.2 Menentukan kekritisan bisnis dari sumber daya TI. APO12.03
RE3.3 Memahami kemampuan TI. APO12.03
RE3.4 Perbarui komponen skenario risiko TI. APO12.03
RE3.5 Memelihara daftar risiko TI dan peta risiko TI. APO12.03
RE3.6 Mengembangkan indikator risiko TI. APO12.03
RR1.1 Mengkomunikasikan hasil analisis risiko TI. APO12.04
RR1.2 Melaporkan aktivitas manajemen risiko TI dan status kepatuhan. APO12.04
RR1.3 Menafsirkan temuan penilaian TI independen. APO12.04
Rp 1.4 Identifikasi peluang terkait TI. APO12.04
RR2.1 Kontrol inventaris. APO12.05
RR2.2 Pantau keselarasan operasional dengan ambang batas toleransi risiko. APO12.05
RR2.3 Menanggapi paparan risiko dan peluang yang ditemukan. APO12.05
RR2.4 Menerapkan kontrol. APO12.05
RR2.5 Laporkan kemajuan rencana tindakan risiko TI. APO12.05
RR3.1 Pertahankan rencana respons insiden. APO12.06
RR3.2 Memantau risiko TI. APO12.06
RR3.3 Memulai respon insiden. APO12.06
RR3.4 Mengkomunikasikan pelajaran yang dipetik dari peristiwa risiko. APO12.06
224
LAMPIRAN B
PEMETAAN RINCI TUJUAN PERUSAHAAN — TUJUAN TERKAIT TI
LAMPIRAN B
PEMETAAN RINCI TUJUAN PERUSAHAAN — TUJUAN TERKAIT TI
Kaskade COBIT 5 goal dijelaskan pada bab 2. Gambar 17 berisi: s)NTECOLUMNSALL
GENERICENTERPRISEGOALSDEFINEDIN#/")4 DIGROUPEDBY"3#DIMENSION s)NTHEROWSALL )4
RELATEDGOALSALSOGROUPEDIN)4"3#DIMENSIGOIS4DIMENSI PIKIRAN PRISEWMAPCHINGOF : – 'P' singkatan dari
primary, ketika ada hubungan penting, yaitu, tujuan terkait TI adalah dukungan utama untuk
tujuan perusahaan.
– 'S' singkatan dari sekunder, ketika masih ada hubungan yang kuat, tetapi kurang penting, yaitu, tujuan terkait TI adalah
dukungan sekunder untuk tujuan perusahaan.
Tabel dibuat berdasarkan input berikut:

s2ESEARCHBYTHE5NIVERSITYOF!NTWERP-ANAGEMENT3CHOOL)4!LIGNMENTAND'OVERNANCE2ESEARCH)NSTITUTE s!
DDITIONALREVIEWSANDEXPERTOPINIONSOBTAINEDDURINGTHEDEVELOPMENTANDREVIEW#/")4PROCESSOF

Saat menggunakan tabel pada gambar 17, harap pertimbangkan komentar yang dibuat di bab 2 tentang cara menggunakan
kaskade tujuan COBIT 5.
Gambar 17—Memetakan COBIT 5 Enterprise Goals ke IT-related Goals

Tujuan Perusahaan
kepentingan
pemangku
investasi
bisnis
Nilai
dari kompetitif
Portofolio
layanan
produk
yang
dan (pengamanan
dikelola
Risiko
bisnis
aset)
yang Kepatuhan
peraturan
eksternal
terhadap
hukum
dan Transparansi
keuangan berorientasi
pelanggan
layanan
Budaya ketersediaan
Kontinuitas
layanan
bisnis
dan Pengambilan
keputusan
informasi
berbasis
strategis Optimalisasi
pengiriman
layanan
biaya fungsionalitas
Optimalisasi
proses
bisnis Optimalisasi
proses
bisnis
biaya perubahan
terkelola
Program
bisnis Produktivitas
operasional
dan
staf Kepatuhan
kebijakan
internal
dengan termotivasi
terampil
Orang-
orang
yang
dan Budaya
produk
inovasi
bisnis
dan
Tanggapan
lingkungan
terhadap
berubah
tangkas
bisnis
yang
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.
Belajar
dan
Tujuan terkait TI Keuangan Pelanggan Intern Pertumbuhan
01 Penyelarasan TI dan strategi bisnis PPS PSPPSPSP SS

02 Kepatuhan dan dukungan TI untuk kepatuhan
Keuangan
bisnis terhadap hukum dan peraturan SP P
eksternal
03 Komitmen manajemen eksekutif untuk PSS SS S P SS

membuat keputusan terkait TI
04 Risiko bisnis terkait TI yang dikelola PS PS P S SS
05 Realisasi manfaat dari investasi dan
PP S S SSP S S
portofolio layanan yang mendukung TI
Pelanggan
06 Transparansi biaya, manfaat dan risiko TI S S P SP P
07 Penyampaian layanan TI sesuai dengan PPSS PSPS PSS SS
kebutuhan bisnis
08 Penggunaan aplikasi, informasi dan solusi SSS SS SSPS P SS

teknologi yang memadai
09 kelincahan TI SPS S P P SS SP
10 Keamanan informasi, infrastruktur PP P P
pemrosesan dan aplikasi
11 Optimalisasi aset, sumber daya, dan PS S PSPSS S
kemampuan TI
Intern
12 Pemberdayaan dan dukungan bisnis

proses dengan mengintegrasikan aplikasi SPS S S SPSSS S
dan teknologi ke dalam proses bisnis
13 Penyampaian program yang disampaikan

manfaat, tepat waktu, sesuai anggaran, dan PSS S S SPS
memenuhi persyaratan dan standar kualitas
14 Ketersediaan informasi yang andal dan

SSSS P P S
berguna untuk pengambilan keputusan
SS
dan
Sedang
belajar
Pertumbuhan
15 Kepatuhan TI dengan kebijakan internal P
16 Bisnis yang kompeten dan termotivasi dan SSP S S P PS

personel TI
17 Pengetahuan, keahlian dan inisiatif SP S PS S S SP
untuk inovasi bisnis
226
LAMPIRAN C
PEMETAAN RINCI TUJUAN TERKAIT — PROSES TERKAIT TI
LAMPIRAN C
Gambar 18 berisi:
s)NTHECOLUMNSALL GENERIC)4 TUJUAN TERKAITSDEFINEDINCHAPTER GROUPEDIN)4"3#DIMENSI
s)NTHEROWSALL #/")4 PROSESGROUPEDBYDOMAIN
s!MAPPINGOFHOWEACH)4 RELATEDGOALISSDIDUKUNG BYA#/")4 )4 RELATEDPROCESS 4HISMAPINGISEXPRESSED
menggunakan skala berikut:
– 'P' singkatan dari primary, ketika ada hubungan penting, yaitu proses COBIT 5 adalah dukungan utama untuk
pencapaian tujuan terkait TI.
– 'S' singkatan dari secondary, ketika masih ada hubungan yang kuat, tetapi kurang penting, yaitu, proses COBIT 5 adalah
dukungan sekunder untuk tujuan terkait TI.
Tabel dibuat berdasarkan input berikut:

s2SEARCHBYTHE5NIVERSITYOF!NTWERP-ANAGEMENT3SCHOOL)4!LIGNMENTAND'OVERNANCE2ESEARCH)NSTITUTE
s!DDITIONALREVIEWSANDEXPERTOPINIONDIPEROLEH SELAMA PENGEMBANGANDANPROSES TINJAUAN#/")4
Saat menggunakan tabel pada gambar 18, harap pertimbangkan komentar yang dibuat di bab 2 tentang cara menggunakan
kaskade gol COBIT 5.
Gambar 18—Memetakan COBIT 5 Tujuan terkait TI ke Proses

Tujuan terkait TI
Penyelarasan
strategi
bisnis
dan
TI
kepatuhan
Kepatuhan
peraturan
eksternal
dukungan
dengan
hukum
bisnis
untuk
dan
dan
TI manajemen
Komitmen
membuat
eksekutif
untuk keputusan
terkait
TI dikelola
terkait
Risiko
bisnis
yang
TI
mendukung
portofolio
investasi
Realisasi
layanan
manfaat
yang
dan
dari
TI Transparansi
manfaat,
biaya,
risiko
dan
TI
Pengiriman
kebutuhan
layanan
dengan
sesuai
bisnis
TI
Penggunaan
informasi,
memadai
teknologi
aplikasi,
solusi
yang
dan
kelincahan
TI pemrosesan,
infrastruktur
Keamanan
informasi,
aplikasi
dan kemampuan
Optimalisasi
sumber
daya,
aset,
dan
TI mengintegrasikan
Pemberdayaan
dukungan
teknologi
aplikasi
dengan
proses
dalam
bisnis
proses
bisnis
dan
dan
ke Penyampaian
persyaratan
memberikan
memenuhi
anggaran,
manfaat,
kualitas
standar
program
sesuai
waktu,
tepat
yang
dan
dan
pengambilan
Ketersediaan
keputusan
informasi
berguna
untuk
andal
yang
dan
membuat Kepatuhan
kebijakan
internal
dengan
TI termotivasi
kompeten
Personil
bisnis
yang
dan
dan
TI Pengetahuan,
keahlian,
inovasi
inisiatif
bisnis
untuk
dan
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Belajar
dan
Proses COBIT 5 Keuangan Pelanggan Intern Pertumbuhan
EDM01 Pastikan Tata Kelola

Pengaturan Kerangka dan PS PSSSP SS S S S S SS S
Pemeliharaan
EDM02 Memastikan Pengiriman Manfaat P S PPP S S S SS SP

Arahkan,
Evaluasi,
Pantau
dan
EDM03 Pastikan Optimasi Risiko SS SP PS S P S S PS S

EDM04 Pastikan Sumber Daya
S SSSSS SP P S PS
Pengoptimalan
EDM05 Pastikan Pemangku Kepentingan

SS P PP S SS S
Transparansi
227
Gambar 18—Memetakan COBIT 5 Tujuan terkait TI ke Proses (lanjutan)

Tujuan terkait TI
Penyelarasan
strategi
bisnis
dan
TI
kepatuhan
Kepatuhan
peraturan
eksternal
dukungan
dengan
hukum
bisnis
untuk
dan
dan
TI manajemen
keputusan
Komitmen
membuat
eksekutif
terkait
untuk
TI dikelola
terkait
Risiko
bisnis
yang
TI
mendukung
portofolio
investasi
Realisasi
layanan
manfaat
yang
dan
dari
TI Transparansi
manfaat,
biaya,
risiko
dan
TI
Pengiriman
kebutuhan
layanan
dengan
sesuai
bisnis
TI
Penggunaan
informasi,
memadai
teknologi
aplikasi,
solusi
yang
dan
kelincahan
TI pemrosesan,
infrastruktur
Keamanan
informasi,
aplikasi
dan kemampuan
Optimalisasi
sumber
daya,
aset,
dan
TI mengintegrasikan
Pemberdayaan
dukungan
teknologi
aplikasi
dengan
proses
dalam
bisnis
proses
bisnis
dan
dan
ke Penyampaian
persyaratan
memberikan
memenuhi
anggaran,
manfaat,
kualitas
standar
program
sesuai
waktu,
tepat
yang
dan
dan
pengambilan
Ketersediaan
keputusan
informasi
berguna
untuk
andal
yang
dan
Kepatuhan
kebijakan
internal
dengan
TI termotivasi
kompeten
Personil
bisnis
yang
dan
dan
TI Pengetahuan,
keahlian,
inovasi
inisiatif
bisnis
untuk
dan
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Belajar
dan
Proses COBIT 5 Keuangan Pelanggan Intern Pertumbuhan
APO01 Kelola TI PP SS S PS P S S S PP P
Kerangka Manajemen
APO02 Kelola Strategi P SSS P SS S S S S SS P
APO03 Kelola Perusahaan P SSSSS SPS P S S S
Arsitektur
APO04 Kelola Inovasi S SP PP P S S P
P SSPSS SS S P S
Rencanakan,
Sejajarkan,
Atur
dan
APO05 Kelola Portofolio

APO06 Kelola Anggaran dan Biaya S SSPPS S S S
APO07 Kelola Manusia PS SS S SS P P SP P

Sumber daya
APO08 Kelola Hubungan P SSSSP S S P S SS P

Layanan Kelola APO09 S SSSP SSS S S PS
Perjanjian
APO10 Kelola Pemasok S PSSP SPS S S SS S
APO11 Kelola Kualitas SS SP P SS S P S SS S
APO12 Kelola Risiko P P PS SSP P S SS S
APO13 Kelola Keamanan P P PS S P P
BAI01 Kelola Program dan P SPPSS S S P SS

0ROJECT
BAI02 Kelola Persyaratan PS SSS P SSS S P S S S

Definisi
BAI03 Kelola Solusi S SS P S S S S S S
Identifikasi dan Bangun
Implementasikan
Dapatkan,
Bangun,
dan
BAI04 Kelola Ketersediaan dan SS P SS P S P S

Kapasitas
BAI05 Kelola Organisasi S S S S PS S S P SP

Ubah Pengaktifan
BAI06 Kelola Perubahan SPS P SSP S S S SS S
BAI07 Kelola Perubahan

Penerimaan dan SS S PS P S SS S
Transisi
BAI08 Kelola Pengetahuan S S S SPS S S SP
BAI09 Kelola Aset S S PS SS P SS
BAI10 Kelola Konfigurasi P S S SS P PS
228
229
Persyaratan Eksternal
S S S S PS P Nilai Kepatuhan Dengan
MEA03 Memantau, Mengevaluasi dan
Pengendalian Internal
S SP S S SS P P Menilai Sistem
Memantau,
Mengevaluasi
dan
Menilai
Kesesuaian
S PS S S P SS SPSSP SS Menilai Kinerja dan
Kontrol
S SS S S S S S P P S DSS06 Kelola Proses Bisnis
SS S S P S S P DSS05 Kelola Layanan Keamanan SP
P SS S S S SS P PS SS DSS04 Kelola Kontinuitas
S PS S P SS P PS S DSS03 Kelola Masalah
dan Insiden
Kirim,
Layanan,
dan
Dukungan
S SS S S P P DSS02 Kelola Permintaan Layanan

S SS S P SS P PS S DSS01 Kelola Operasi
Pertumbuhan Intern Pelanggan Keuangan Proses COBIT 5
dan
Belajar
14 15 16 17 13 12 11 08 09 10 01 02 03 04 05 06 07
Ketersediaan
informasi
yang
andal
dan
berguna
untuk
pengambilan
keputusan Penggunaan
aplikasi,
informasi,
dan
solusi
teknologi
yang
memadai Transparansi
biaya,
manfaat,
dan
risiko
TI Penyelarasan
TI
dan
strategi
bisnis
Personil
bisnis
dan
TI
yang
kompeten
dan
termotivasi Optimalisasi
aset,
sumber
daya,
dan
kemampuan
TI Keamanan
informasi,
infrastruktur
pemrosesan,
dan
aplikasi Realisasi
manfaat
dari
investasi
dan
portofolio
layanan
yang
mendukung
TI Komitmen
manajemen
eksekutif
untuk
membuat
keputusan
terkait
TI Kepatuhan
dan
dukungan
TI
untuk
kepatuhan
bisnis
dengan
hukum
dan
peraturan
eksternal
Pengetahuan,
keahlian,
dan
inisiatif
untuk
inovasi
bisnis Kepatuhan
TI
dengan
kebijakan
internal Penyampaian
program
yang
memberikan
manfaat,
tepat
waktu,
sesuai
anggaran,
dan
memenuhi
persyaratan
dan
standar
kualitas Pemberdayaan
dan
dukungan
proses
bisnis
dengan
mengintegrasikan
aplikasi
dan
teknologi
ke
dalam
proses
bisnis kelincahan
TI Pengiriman
layanan
TI
sesuai
dengan
kebutuhan
bisnis Risiko
bisnis
terkait
TI
yang
dikelola
Tujuan terkait TI
Gambar 18—Memetakan COBIT 5 Tujuan terkait TI ke Proses (lanjutan)
LAMPIRAN C

COBIT 5 Enabling Process

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

COBIT 5 Enabling Process

Diunggah oleh

Hak Cipta:

Format Tersedia

Machine Translated by Google

Salinan Pribadi: Tuan Dong Hong Wang

Umpan balik: www.isaca.org/ cobit

COBIT® 5: Mengaktifkan Proses

2 Salinan Pribadi: Tuan Dong Hong Wang

UCAPAN TERIMA KASIH

UCAPAN TERIMA KASIH

Gugus Tugas COBIT 5 (2009-2011)

Peserta Lokakarya Gary

UCAPAN TERIMA KASIH (Lanjutan)

4 Salinan Pribadi: Tuan Dong Hong Wang

UCAPAN TERIMA KASIH

UCAPAN TERIMA KASIH (Lanjutan)

Dewan Direksi ISACA

Salinan Pribadi: Tuan Dong Hong Wang 5

UCAPAN TERIMA KASIH (Lanjutan)

Kerangka Komite (2009-2012)

ISACA dan IT Governance Institute® (ITGI®) Afiliasi dan Sponsor

Perusahaan GRC Solutions Inc.

6 Salinan Pribadi: Tuan Dong Hong Wang

Bab 1. Pendahuluan ............................................................ ................................................................... ................................................................... ............. 11

Bab 3. Model Proses COBIT 5 ........................................ ................................................................... ........................................ 19 Manajemen Kinerja

Lampiran B. Pemetaan Detil Tujuan Perusahaan—Tujuan Terkait TI .................................................. ........................................ 225

Halaman sengaja dikosongkan

8 Salinan Pribadi: Tuan Dong Hong Wang

Gambar 1—Kelompok Produk COBIT 5 .................................................. ................................................................... .................................................11

Salinan Pribadi: Tuan Dong Hong Wang 9

Halaman sengaja dikosongkan

10 Salinan Pribadi: Tuan Dong Hong Wang

Gambar 1—Keluarga Produk COBIT 5

Panduan Pengaktif COBIT 5

COBIT 5 Panduan Profesional

Lingkungan Kolaborasi Online COBIT5

Keluarga produk COBIT 5 mencakup produk-produk berikut:

Publikasi ini disusun sebagai berikut:

Salinan Pribadi: Tuan Dong Hong Wang 11

Halaman sengaja dikosongkan

12 Salinan Pribadi: Tuan Dong Hong Wang

Kaskade Gol COBIT 5

Gambar 2—Tujuan Tata Kelola: Penciptaan Nilai

Tujuan Tata Kelola: Penciptaan Nilai

Manfaat Mempertaruhkan Sumber

Kaskade gol COBIT 5 ditunjukkan pada gambar 3.

Langkah 1. Penggerak Pemangku Kepentingan Mempengaruhi Kebutuhan Pemangku Kepentingan

Langkah 2. Kebutuhan Pemangku Kepentingan untuk Tujuan Perusahaan

Gambar 3—Ikhtisar Kaskade Sasaran COBIT 5

Penggerak Pemangku Kepentingan

(Lingkungan, Evolusi Teknologi, ...)

Kebutuhan Pemangku Kepentingan

Manfaat Mempertaruhkan Sumber

Kaskade ke Lampiran D, COBIT 5

Tujuan Perusahaan Gambar 4

Tujuan terkait TI Gambar 5

Gambar 4—COBIT 5 Tujuan Perusahaan

Kaitannya dengan Tujuan Tata Kelola

Keuangan 1. Nilai pemangku kepentingan dari investasi bisnis P S

2. Portofolio produk dan layanan yang kompetitif PP S

4. Kepatuhan terhadap hukum dan peraturan eksternal P

7. Kesinambungan dan ketersediaan layanan bisnis P

8. Respons tangkas terhadap lingkungan bisnis yang berubah P S

9. Pengambilan keputusan strategis berbasis informasi PP P

Intern layanan 11. Optimalisasi fungsionalitas proses P P

bisnis 12. Optimalisasi biaya proses bisnis 13. P P

/ $* ($" / $( $) + " . /"$ / Praktek Proses,

( ) %( , # $ % % ") ( ) %( &&" %$ % ( * *%()