COBIT 5 Enabling Process
COBIT 5 Enabling Process
Mengaktifkan Proses
: MENGAKTIFKAN PROSES
ISACA®
Dengan 95.000 konstituen di 160 negara, ISACA (www.isaca.org) adalah penyedia global terkemuka untuk pengetahuan,
sertifikasi, komunitas, advokasi dan pendidikan tentang jaminan dan keamanan sistem informasi (IS), tata kelola perusahaan dan
manajemen TI, dan TI- risiko dan kepatuhan terkait. Didirikan pada tahun 1969, ISACA independen dan nirlaba menyelenggarakan
konferensi internasional, menerbitkan Jurnal ISACA® , dan mengembangkan standar audit dan kontrol IS internasional, yang membantu
konstituennya memastikan kepercayaan, dan nilai dari, sistem informasi. Ini juga memajukan dan membuktikan keterampilan dan
pengetahuan TI melalui Certified Information Systems Auditor® (CISA®) yang dihormati secara global, Certified Information Security
Manager® (CISM®), Certified in the Governance of Enterprise IT® (CGEIT®) dan Certified in Risk and Penunjukan Sistem Informasi
ControlTM (CRISCTM) . ISACA terus memperbarui COBIT®, yang membantu para profesional TI dan pemimpin perusahaan memenuhi
tanggung jawab tata kelola dan manajemen TI mereka, terutama di bidang jaminan, keamanan, risiko dan kontrol, serta memberikan nilai
bagi bisnis.
Penafian
ISACA telah merancang publikasi ini, COBIT® 5: Proses Pengaktifan ('Pekerjaan'), terutama sebagai sumber daya pendidikan untuk tata
kelola TI perusahaan (GEIT), profesional jaminan, risiko, dan keamanan. ISACA tidak mengklaim bahwa penggunaan Karya mana pun
akan menjamin hasil yang sukses. Pekerjaan tidak boleh dianggap mencakup semua informasi, prosedur, dan pengujian yang tepat atau
tidak termasuk informasi, prosedur, dan pengujian lain yang secara wajar diarahkan untuk memperoleh hasil yang sama. Dalam menentukan
kepatutan informasi, prosedur atau pengujian tertentu, pembaca harus menerapkan penilaian profesional mereka sendiri terhadap GEIT,
jaminan, risiko, dan keadaan keamanan tertentu yang disajikan oleh sistem atau lingkungan teknologi informasi tertentu.
hak cipta
© 2012 ISACA. Seluruh hak cipta. Untuk panduan penggunaan, lihat www.isaca.org/ COBITuse.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 AS
Telepon: +1.847.253.1545
Faks: +1.847.253.1443
Email: info@isaca.org
Situs web: www.isaca.org
Tim pengembangan
Floris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Belgia
Gert du Preez, CGEIT, PwC, Kanada
Stefanie Grijp, PwC, Belgia
Gary Hardy, CGEIT, Pemenang IT, Afrika Selatan
Bart Peeters, PwC, Belgia
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgia
3
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
: MENGAKTIFKAN PROSES
DAFTAR ISI
DAFTAR ISI
Daftar Gambar ................................................................... ................................................................... ................................................................... ....................... 9
Bab 2. Kaskade dan Metrik Sasaran untuk Sasaran Perusahaan dan Sasaran terkait TI .................................. ............... 13 COBIT 5 Goals
Cascade ............................... ................................................................... ................................................................... ......................... 13 Langkah 1. Penggerak
Pemangku Kepentingan Mempengaruhi Kebutuhan Pemangku Kepentingan ............ ................................................................... .................................13
Langkah 2. Kebutuhan Pemangku Kepentingan Bertahap ke Tujuan Perusahaan ............. ................................................................... .................................13
Langkah 3. Tujuan Perusahaan Bertingkat ke Tujuan terkait TI ...... ................................................................... .................................................15
Langkah 4. Terkait TI Tujuan Kaskade ke Tujuan Pemberdaya.................................................. ................................................................... .........15
Menggunakan Cascade Tujuan COBIT 5 .................................. .. ................................................................... ................................................................... ... 15
Manfaat Cascade Tujuan COBIT 5 .................................................. ................................................................... ...................................15
Menggunakan Cascade Tujuan COBIT 5 dengan Hati-hati .................................................. ................................................................... ..................16
Menggunakan COBIT 5 Goals Cascade dalam Praktek ......................... ................................................................... ...................................16
Metrik ............ ................................................................... ................................................................... ................................................................... ........................
16 Metrik Sasaran Perusahaan ........................ ................................................................... ................................................................... .......................16
Metrik Sasaran terkait TI ........................ ................................................................... ................................................................... .........................17
Bab 4. Model Referensi Proses COBIT 5 ......................................... ................................................................... ......................... 23 Proses Tata Kelola dan
Manajemen ......................... ................................................................... ................................................................... ..... 23
Model ................................................................. ................................................................... ................................................................... ................................................... 23
Bab 5. COBIT 5 Proses Referensi Panduan Isi ......................................... ................................................................... ........... 25 Input dan
Output ........................................ ................................................................... ................................................................... ............................... 25 Panduan
Umum untuk Proses .............. ................................................................... ................................................................... .................................. 27 Evaluasi,
Langsung dan Monitor (EDM) .............. ................................................................... ................................................................... .................29 Align, Plan
and Organize (APO) ........................ ................................................................... ................................................................... ............49 Build, Acquire
and Implement (BAI) ............................. ................................................................... ........................ ........................117 Deliver, Service and Support
(DSS) .............. ................................................................... ................................................................... ............171 Memantau, Mengevaluasi, dan
Menilai (MEA) ............................. ................................................................... ...................................................201
Lampiran A. Pemetaan Antara COBIT 5 dan Kerangka ISACA Legacy ......................................... ............................ 217
Lampiran C. Pemetaan Rinci Tujuan terkait TI—Proses terkait TI .................................. ..................................... 227
7
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
DAFTAR GAMBAR
DAFTAR GAMBAR
: MENGAKTIFKAN PROSES
BAB 1
PENGANTAR
COBIT 5: Proses Pengaktifan melengkapi COBIT 5 (gambar 1). Publikasi ini berisi panduan referensi rinci untuk proses yang didefinisikan dalam model
referensi proses COBIT 5.
COBIT® 5
COBIT® 5:
COBIT® 5: Pengaktif lainnya
Mengaktifkan Proses Panduan
Mengaktifkan Informasi
COBIT® 5
COBIT® 5 COBIT® 5 Profesional lainnya
Implementasi COBIT® 5 untuk Informasi
untuk Jaminan untuk Risiko Panduan
Keamanan
Kerangka kerja COBIT 5 dibangun di atas lima prinsip dasar, yang dibahas secara rinci, dan mencakup panduan ekstensif tentang enabler untuk tata kelola
dan manajemen TI perusahaan.
: MENGAKTIFKAN PROSES
BAB 2
RASKADE DAN METRIK TUJUAN
UNTUK TUJUAN PERUSAHAAN DAN TUJUAN TERKAIT TI
Pemangku Kepentingan
Kebutuhan
Perusahaan memiliki banyak pemangku kepentingan, dan 'menciptakan nilai' memiliki arti yang berbeda—dan terkadang bertentangan—bagi masing-masing
pemangku kepentingan. Tata kelola adalah tentang menegosiasikan dan memutuskan di antara kepentingan nilai pemangku kepentingan yang berbeda.
Akibatnya, sistem tata kelola harus mempertimbangkan semua pemangku kepentingan saat membuat keputusan penilaian manfaat, risiko, dan sumber daya.
Untuk setiap keputusan, pertanyaan-pertanyaan berikut dapat dan harus ditanyakan: Untuk siapa keuntungannya? Siapa yang menanggung risikonya? Sumber
daya apa yang dibutuhkan?
Kebutuhan pemangku kepentingan harus diubah menjadi strategi perusahaan yang dapat ditindaklanjuti. Kaskade tujuan COBIT 5 adalah mekanisme
untuk menerjemahkan kebutuhan pemangku kepentingan menjadi tujuan perusahaan yang spesifik, dapat ditindaklanjuti, dan disesuaikan, tujuan terkait TI,
dan tujuan yang memungkinkan. Terjemahan ini memungkinkan penetapan tujuan spesifik di setiap tingkat dan di setiap area perusahaan untuk mendukung
tujuan keseluruhan dan persyaratan pemangku kepentingan.
COBIT 5 mendefinisikan 17 tujuan umum, seperti yang ditunjukkan pada gambar 4, yang mencakup informasi berikut:
s4HE"3#DIMENSIONUNDERWHICHHEENTERPRISEGOALFITS
s%NTERPRISEGOALS
s4HERELATIONSHIPTHREEMAINGOVERNANCETUJUAN MANFAATREALISASIRISIKOPTIMASI DAN SUMBER DAYA
pengoptimalan. ('P' singkatan dari hubungan primer dan 'S' untuk hubungan sekunder, yaitu hubungan yang kurang kuat.)
1
Kaplan, Robert S.; David P.Norton; The Balanced Scorecard: Menerjemahkan Strategi ke dalam Tindakan, Harvard University Press, AS, 1996
13
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
Pengaruh
Kaskade ke Lampiran B
Kaskade ke Lampiran C
Tujuan Pemberdaya
5. Transparansi keuangan PS S
Pelanggan 6. Budaya layanan berorientasi pelanggan P S
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan eksternal
Intern 09 kelincahan TI
12 Pemberdayaan dan dukungan proses bisnis dengan mengintegrasikan aplikasi dan teknologi ke dalam proses bisnis
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, dan memenuhi persyaratan dan standar kualitas
Pembelajaran dan Pertumbuhan 16 Personel bisnis dan TI yang kompeten dan termotivasi
Tabel pemetaan antara sasaran terkait TI dan sasaran perusahaan disertakan dalam lampiran B, dan ini menunjukkan bagaimana
setiap sasaran perusahaan didukung oleh sejumlah sasaran terkait TI.
Untuk setiap enabler, satu set spesifik, tujuan yang relevan dapat ditentukan untuk mendukung tujuan terkait TI. Dalam dokumen ini,
tujuan proses disediakan dalam deskripsi proses yang terperinci. Proses adalah salah satu yang memungkinkan, dan lampiran C berisi
pemetaan antara tujuan terkait TI dan proses COBIT 5.
2 Hasil terkait TI jelas bukan satu-satunya manfaat perantara yang diperlukan untuk mencapai tujuan perusahaan. Semua area fungsional lainnya dalam suatu
organisasi, seperti keuangan dan pemasaran, juga berkontribusi pada pencapaian tujuan perusahaan, tetapi dalam konteks COBIT 5 hanya aktivitas dan tujuan terkait TI
yang dipertimbangkan.
3 Kaskade tujuan didasarkan pada penelitian yang dilakukan oleh Institut Penyelarasan dan Tata Kelola TI Sekolah Manajemen Universitas Antwerpen di Belgia.
15
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
Metrik
Halaman berikut berisi sasaran perusahaan dan sasaran terkait TI, dengan metrik sampel yang dapat digunakan untuk mengukur pencapaian setiap sasaran.
Metrik ini adalah sampel, dan setiap perusahaan harus meninjau daftar dengan cermat, memutuskan metrik yang relevan dan dapat dicapai untuk lingkungannya
sendiri, dan merancang sistem kartu skornya sendiri. Selain metrik di bawah ini, tujuan proses dan metrik terkandung dalam deskripsi proses yang terperinci.
3. Risiko bisnis yang dikelola s0ERSENTOFKRITIKALBISNISOBJEKTIFDAN LAYANAN TERCAKUP OLEH PENILAIAN RISIKO
(pengamanan aset) s2ATIOOFSIGNIFICANTINSIDENTWRENOTIDENTIFIEDINRISKA PENILAIAN VS TOTALINSIDEN
s&REQUENCYOFUPDATEOFRISKPROFILE
5. Transparansi keuangan s0ERCENTOINVESTMENTKASUS USAHADENTIFIKASI JELAS DAN DISETUJUI BIAYA YANG DIHARAPKAN
dan manfaat
Pelanggan 6. Budaya layanan s.JUMLAH GANGGUAN LAYANAN PELANGGANSDUETO)4 KEANDALAN LAYANAN TERKAIT
berorientasi pelanggan KEANDALAN0ERCENTOFBUSINESSPEMEGANG PEMEGANG SAHAMPUASBAHWA PELAYANAN
PELANGGANPENGIRIMAN MEETS SETUJU ONLEVELS s.UMBEROFCKELuhan PELANGGAN RESSFAKSIPELANGGAN
Belajar dan 16. Orang yang terampil dan s,KEMBANGKAN KEPUASAN PEMEGANG PEMEGANG PASANG KEAHLIAN STAFF KEAHLIAN
Pertumbuhan termotivasi DAN KETERAMPILAN s0ERCENTOFSTAFF YANG KETERAMPILANNYACUKUP UNTUK KOMPETENSI YANG DIBUTUHKAN UNTUK
PERAN PERAN s0ERCENTOFPUSATSTAFF
17
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
06 Transparansi biaya, manfaat s0ERCENTOINVESTMENTKASUS USAHADETIKA DITENTUKAN DAN DISETUJUIDIHARAPKAN)4 BIAYA TERKAIT
dan risiko TI dan manfaat
s0ERCENTOF)4LAYANANDITENTUKAN DENGAN JELAS DANDISETUJUOPERASI BIAYADANDAN MANFAAT YANG
DIHARAPKAN s3SURVEI KEPUASAN PEMEGANG PEMANGKU KUNCI TENTANG TINGKAT TRANSPARANSI PEMAHAMAN DAN
akurasi informasi keuangan TI
14 Ketersediaan informasi yang s,KEMBANGKAN KEPUASAN PENGGUNA KUALITAS DAN KETEPATAN WAKTU ATAU
andal dan berguna untuk KETERSEDIAAN informasi manajemen s.UMBEROFBUSINESSPROCESSINSIDENT DISEBABKAN
pengambilan keputusan OLEH NON KETERSEDIAAN INFORMASI
s2ASIOANDEXTENTOFERRONEOUSBUSINESSDESIENORUNAVRONEOUS
adalah faktor kunci
Belajar dan 16 Personel bisnis dan TI yang s0ERCENTOFSTAFFyang)4 KETERAMPILAN TERKAITCUKUPUNTUK KOMPETENSI YANG DIBUTUHKAN UNTUK
Pertumbuhan kompeten dan termotivasi PERANNYA s0ERCENTOFSTAFFPUAS DENGAN MEREKA)4 PERAN TERKAIT s.UMBEROJAM PELATIHAN
ANGGOTAPERSTAF
BAB 3
MODEL PROSES COBIT 5
Proses adalah salah satu dari tujuh kategori enabler untuk tata kelola dan manajemen TI perusahaan, seperti yang dijelaskan dalam COBIT 5,
bab 5. Spesifik untuk proses enabler dibandingkan dengan deskripsi enabler generik ditunjukkan pada gambar 8.
Pemberdaya
Performa
Sebuah proses didefinisikan sebagai 'kumpulan praktik yang dipengaruhi oleh kebijakan dan prosedur perusahaan yang mengambil input
dari sejumlah sumber (termasuk proses lainnya), memanipulasi input dan menghasilkan output (misalnya, produk, layanan)'.
Pada setiap tingkat kaskade tujuan, maka juga untuk proses, metrik didefinisikan untuk mengukur sejauh mana tujuan tercapai. Metrik dapat didefinisikan
sebagai 'entitas terukur yang memungkinkan pengukuran pencapaian tujuan proses. Metrik harus SMART—spesifik, terukur, dapat ditindaklanjuti,
relevan, dan tepat waktu'.
: MENGAKTIFKAN PROSES
Untuk mengelola enabler secara efektif dan efisien, metrik perlu didefinisikan untuk mengukur sejauh mana hasil yang diharapkan tercapai. Selain itu, aspek
kedua dari manajemen kinerja enabler menjelaskan sejauh mana praktik yang baik diterapkan. Di sini juga, metrik terkait dapat ditentukan untuk membantu
pengelolaan enabler. sLife cycle—Setiap proses memiliki siklus hidup. Ini didefinisikan, dibuat, dioperasikan, dipantau, dan disesuaikan/diperbarui atau
dihentikan.
Praktik proses umum seperti yang didefinisikan dalam model penilaian proses COBIT berdasarkan ISO/IEC 15504 dapat membantu dalam mendefinisikan,
menjalankan, memantau, dan mengoptimalkan proses.
sGood practice—COBIT 5: Enabling Processes berisi model referensi proses, di mana praktik baik internal proses dijelaskan dalam tingkat detail yang
berkembang: praktik, aktivitas, dan aktivitas terperinci.4
Praktek:
s Untuk setiap proses COBIT 5, praktik tata kelola/manajemen menyediakan satu set lengkap persyaratan tingkat tinggi untuk tata kelola dan manajemen
TI perusahaan yang efektif dan praktis. Mereka:
- Pernyataan tindakan untuk memberikan manfaat, mengoptimalkan tingkat risiko dan mengoptimalkan penggunaan sumber daya
- Selaras dengan standar dan praktik baik yang diterima secara umum yang relevan
- Generik dan oleh karena itu perlu disesuaikan untuk setiap perusahaan
- Meliputi pelaku bisnis dan peran TI dalam proses (end to end)
s Badan dan manajemen tata kelola perusahaan perlu membuat pilihan terkait dengan praktik tata kelola dan manajemen ini dengan:
- Manajemen, penyedia layanan, pengguna akhir, dan profesional TI yang perlu merencanakan, membangun, menjalankan, atau memantau
(PBRM) TI perusahaan
- Profesional jaminan yang mungkin dimintai pendapatnya mengenai implementasi saat ini atau yang diusulkan atau peningkatan yang diperlukan
s Satu set lengkap aktivitas umum dan spesifik yang menyediakan satu pendekatan yang terdiri dari semua langkah yang diperlukan dan memadai
untuk mencapai praktik tata kelola utama (GP)/praktik manajemen (MP). Mereka memberikan panduan tingkat tinggi, pada tingkat di bawah GP/MP,
untuk menilai kinerja aktual dan untuk mempertimbangkan potensi peningkatan. Aktivitas:
– Jelaskan serangkaian langkah implementasi berorientasi tindakan yang diperlukan dan memadai untuk mencapai GP/MP
– Pertimbangkan input dan output dari proses
– Didasarkan pada standar yang diterima secara umum dan praktik yang baik
– Mendukung penetapan peran dan tanggung jawab yang jelas
– Non-preskriptif, dan perlu diadaptasi dan dikembangkan menjadi prosedur khusus yang sesuai untuk perusahaan
Kegiatan terperinci— Kegiatan mungkin tidak pada tingkat detail yang memadai untuk implementasi, dan panduan lebih lanjut mungkin perlu:
– Diperoleh dari standar spesifik yang relevan dan praktik yang baik seperti Perpustakaan Infrastruktur Teknologi Informasi (ITIL), Organisasi
Internasional untuk Standardisasi/Komisi Elektroteknik Internasional (ISO/IEC) seri 27000 dan Proyek DI Lingkungan Terkendali 2 (PRINCE2)
– Dikembangkan sebagai aktivitas yang lebih detail atau spesifik sebagai pengembangan tambahan dalam keluarga produk COBIT 5 itu sendiri
Input dan output—Input dan output COBIT 5 adalah produk/artefak kerja proses yang dianggap perlu untuk mendukung operasi proses.
Mereka memungkinkan keputusan kunci, memberikan catatan dan jejak audit aktivitas proses, dan memungkinkan tindak lanjut jika terjadi insiden.
Mereka didefinisikan pada tingkat praktik tata kelola/manajemen utama, dapat mencakup beberapa produk kerja yang hanya digunakan dalam proses,
dan seringkali merupakan masukan penting untuk proses lainnya.5
Praktik baik eksternal dapat ada dalam bentuk atau tingkat detail apa pun, dan sebagian besar mengacu pada standar dan kerangka
kerja lain. Pengguna dapat merujuk pada praktik baik eksternal ini setiap saat, mengetahui bahwa COBIT selaras dengan standar ini jika
relevan, dan informasi pemetaan akan tersedia.
4
Hanya praktik dan aktivitas yang dikembangkan di bawah proyek saat ini. Tingkat yang lebih rinci tergantung pada pengembangan tambahan, misalnya, berbagai
pemandu profesional dapat memberikan panduan yang lebih rinci untuk bidangnya. Juga, panduan lebih lanjut dapat diperoleh melalui standar dan kerangka kerja terkait,
seperti yang ditunjukkan dalam deskripsi proses yang terperinci.
5 Input dan output COBIT 5 ilustratif tidak boleh dianggap sebagai daftar yang lengkap karena arus informasi tambahan dapat ditentukan, tergantung pada lingkungan dan
kerangka proses perusahaan tertentu.
RESTAKEHOLDERNEEDSADDRESSEDs
Dalam kasus enabler proses, dua poin pertama berhubungan dengan hasil aktual dari proses. Metrik yang digunakan
untuk mengukur sejauh mana tujuan tercapai dapat disebut 'indikator lag'. Dalam COBIT 5: Mengaktifkan Proses,
sejumlah metrik ditentukan per tujuan proses.
Dua butir terakhir membahas fungsi sebenarnya dari enabler itu sendiri, dan metrik untuk ini dapat disebut 'indikator utama'.
Tingkat kemampuan proses —COBIT 5 mencakup skema penilaian kemampuan proses berbasis ISO/IEC
15504. Ini dibahas dalam bab 8 COBIT 5 dan panduan lebih lanjut tersedia dari publikasi ISACA terpisah.
Singkatnya, tingkat kapabilitas proses mengukur pencapaian tujuan dan penerapan praktik yang baik.
Hubungan dengan enabler lain—Hubungan antara proses dan kategori enabler lainnya ada melalui
hubungan berikut: s0ROCESSESNEEDINFORMATION
ASONEOFTHETYPESOFINPUTSANDCANPRODUCEINFORMATION
ASAWORKPRODUCTs0ROCESSESNEEDORGANISATIONALSTRUCTURESANDROLESTOOPERATEASEXPRESSEDTHROUGH
s0PRODUCEANDALSOREQUIRESERVICEKEMAMPUAN INFRASTRUKTURAPLIKASISETC
s0ROCESSESCANANDAKAN TERGANTUNG s0PROSES
PRODUCEORNEEDPOLICIESANDPROCEDURESTOENSURECONSISTENTIMPLEMENTATIONDANDEXTUREDEDEXUECULERD
: MENGAKTIFKAN PROSES
BAB 4
MODEL REFERENSI PROSES COBIT 5
Tata Kelola dan Proses Manajemen
Salah satu prinsip panduan dalam COBIT adalah perbedaan yang dibuat antara tata kelola dan manajemen. Sejalan dengan prinsip ini, setiap
perusahaan diharapkan untuk menerapkan sejumlah proses tata kelola dan sejumlah proses manajemen untuk menyediakan tata kelola dan
manajemen TI perusahaan yang komprehensif.
Ketika mempertimbangkan proses untuk tata kelola dan manajemen dalam konteks perusahaan, perbedaan antara jenis proses terletak pada tujuan
proses:
sProses tata kelola—Proses tata kelola berurusan dengan tujuan tata kelola pemangku kepentingan—pengiriman nilai, optimalisasi risiko, dan
pengoptimalan sumber daya—dan mencakup praktik dan aktivitas yang ditujukan untuk mengevaluasi opsi strategis, memberikan arahan kepada TI,
dan memantau hasilnya (Evaluate, direct and monitor [EDM]— sejalan dengan konsep standar ISO/IEC 38500).
Proses manajemen— Sejalan dengan definisi manajemen (lihat COBIT 5, Ringkasan Eksekutif), praktik dan aktivitas dalam proses manajemen
mencakup area tanggung jawab TI perusahaan PBRM, dan mereka harus menyediakan cakupan TI ujung ke ujung.
Meskipun hasil dari kedua jenis proses berbeda dan ditujukan untuk audiens yang berbeda, secara internal, dari konteks proses itu sendiri, semua
proses memerlukan aktivitas 'perencanaan', 'pembangunan atau implementasi', 'pelaksanaan' dan 'pemantauan' dalam proses.
Model
COBIT 5 tidak bersifat preskriptif, tetapi dari teks sebelumnya jelas bahwa COBIT 5 menganjurkan agar perusahaan menerapkan proses tata kelola
dan manajemen sedemikian rupa sehingga area utama tercakup, seperti yang ditunjukkan pada gambar 9.
Secara teori, suatu perusahaan dapat mengatur prosesnya sesuai keinginan, selama tujuan tata kelola dan manajemen dasar tercakup. Perusahaan
yang lebih kecil mungkin memiliki lebih sedikit proses; perusahaan yang lebih besar dan lebih kompleks mungkin memiliki banyak proses, semuanya
untuk mencapai tujuan yang sama.
Kebutuhan Bisnis
Pemerintahan
Evaluasi
Memantau
Langsung Umpan Balik Manajemen
Pengelolaan
23
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
COBIT 5 mencakup model referensi proses, mendefinisikan dan menjelaskan secara rinci sejumlah proses tata kelola dan manajemen.
Ini menyediakan model referensi proses yang mewakili semua proses yang biasanya ditemukan di perusahaan yang berkaitan dengan
aktivitas TI, menawarkan model referensi umum yang dapat dipahami oleh TI operasional dan manajer bisnis. Model proses yang
diusulkan adalah model yang lengkap dan komprehensif, tetapi bukan satu-satunya model proses yang mungkin. Setiap perusahaan harus
mendefinisikan set prosesnya sendiri, dengan mempertimbangkan situasi spesifik.
Memasukkan model operasional dan bahasa umum untuk semua bagian perusahaan yang terlibat dalam aktivitas TI adalah salah satu
langkah terpenting dan kritis menuju tata kelola yang baik. Ini juga menyediakan kerangka kerja untuk mengukur dan memantau kinerja
TI, berkomunikasi dengan penyedia layanan, dan mengintegrasikan praktik manajemen terbaik.
Model referensi proses COBIT 5 membagi proses tata kelola dan manajemen TI perusahaan menjadi dua area utama aktivitas—tata
kelola dan manajemen—dibagi ke dalam domain proses: sGovernance— Domain ini berisi lima proses tata kelola; dalam setiap
proses, praktik EDM didefinisikan. sManagement— Keempat domain ini sejalan dengan area tanggung jawab PBRM (evolusi dari
domain COBIT 4.1), dan mereka menyediakan cakupan TI ujung-ke-ujung. Setiap domain berisi sejumlah proses, seperti pada COBIT
4.1 dan versi sebelumnya. Meskipun, seperti yang dijelaskan sebelumnya, sebagian besar proses memerlukan aktivitas
'perencanaan', 'implementasi', 'eksekusi' dan 'pemantauan' dalam proses atau dalam masalah spesifik yang ditangani—misalnya,
kualitas, keamanan—mereka ditempatkan di domain di sejalan dengan apa yang umumnya merupakan area aktivitas yang paling
relevan ketika berkaitan dengan TI di tingkat perusahaan.
Model referensi proses COBIT 5 merupakan penerus dari model proses COBIT 4.1, dengan model proses TI Risiko dan TI yang
terintegrasi juga. Gambar 10 menunjukkan set lengkap 37 proses tata kelola dan manajemen dalam COBIT 5.
EDM01 Pastikan
EDM04 Pastikan EDM05 Pastikan
Pemerintahan EDM02 Pastikan EDM03 Pastikan
Sumber Pemangku Kepentingan
Pengaturan dan Pengiriman Manfaat Optimasi Risiko
Pemeliharaan Kerangka Pengoptimalan Transparansi
MEA01 Monitor,
Mengevaluasi dan Menilai
Performa dan
APO09 Kelola
APO08 Kelola Melayani Kelola APO10 APO11 Kelola APO12 Kelola APO13 Kelola Kesesuaian
Hubungan Pemasok Kualitas Mempertaruhkan
Keamanan
Perjanjian
MEA03 Monitor,
Mengevaluasi dan Menilai
DSS02 Kelola DSS05 Kelola DSS06 Kelola
DSS01 Kelola DSS03 Kelola Kelola DSS04
Permintaan Layanan Keamanan Bisnis Kepatuhan Dengan
Operasi Masalah Kontinuitas
dan Insiden Jasa Kontrol Proses Persyaratan Eksternal
BAB 5
COBIT 5 ISI PANDUAN REFERENSI PROSES
Bab ini menjelaskan konten terkait proses terperinci untuk proses tata kelola dan manajemen COBIT 5. Untuk setiap proses, informasi
berikut disertakan, sejalan dengan model proses yang dijelaskan dalam bab sebelumnya:
sIdentifikasi proses—Pada halaman pertama:
– Label proses—Awalan domain (EDM, APO, BAI, DSS, MEA) dan nomor proses
– Nama proses—Deskripsi singkat, yang menunjukkan subjek utama proses – Area proses
—Tata kelola atau manajemen
- Nama domain
sDeskripsi proses— Ikhtisar tentang apa yang dilakukan proses dan tinjauan tingkat tinggi tentang bagaimana proses
mencapai tujuannya
sProcess purpose statement— Deskripsi tujuan keseluruhan proses sGoals cascade
information—Referensi dan deskripsi tujuan terkait TI yang terutama didukung oleh proses,6 dan metrik untuk mengukur pencapaian
tujuan terkait TI
sSasaran dan metrik proses—Satu set sasaran proses dan metrik contoh dalam jumlah terbatas
sRACI chart—Sebuah penugasan tingkat tanggung jawab yang disarankan untuk praktik proses ke peran dan struktur yang berbeda.
Peran perusahaan yang tercantum diarsir lebih gelap daripada peran TI. Tingkat keterlibatan yang berbeda adalah:
– R(bertanggung jawab)—Siapa yang menyelesaikan tugas? Ini mengacu pada peran yang mengambil taruhan operasional utama dalam
memenuhi aktivitas yang terdaftar dan menciptakan hasil yang diinginkan
– A(dapat dipertanggungjawabkan)—Siapa yang bertanggung jawab atas keberhasilan tugas? Ini memberikan akuntabilitas
keseluruhan untuk menyelesaikan tugas (Di mana uang berhenti?). Perhatikan bahwa peran yang disebutkan adalah tingkat
akuntabilitas terendah yang sesuai; tentu saja ada tingkat yang lebih tinggi yang juga bertanggung jawab. Untuk memungkinkan
pemberdayaan perusahaan, akuntabilitas dipecah sejauh mungkin. Akuntabilitas tidak menunjukkan bahwa peran tersebut tidak
memiliki kegiatan operasional; sangat mungkin bahwa peran terlibat dalam tugas. Sebagai prinsip, akuntabilitas tidak dapat dibagi.
– C(onsulted)—Siapa yang memberikan masukan? Ini adalah peran kunci yang memberikan masukan. Perhatikan bahwa tergantung
pada peran yang akuntabel dan bertanggung jawab untuk mendapatkan informasi dari unit lain atau mitra eksternal juga. Namun,
masukan dari peran yang terdaftar harus dipertimbangkan dan, jika diperlukan, tindakan yang tepat harus diambil untuk eskalasi,
termasuk informasi dari pemilik proses dan/atau komite pengarah.
– Saya(diinformasikan)—Siapa yang menerima informasi? Ini adalah peran yang diinformasikan tentang pencapaian dan/atau
kiriman tugas. Peran dalam 'akuntabel' tentu saja harus selalu mendapat informasi yang tepat untuk mengawasi tugas, seperti halnya
peran yang bertanggung jawab untuk bidang yang mereka minati.
sDeskripsi detail dari proses praktik—Untuk setiap praktik:
– Judul dan deskripsi latihan
– Praktik input dan output, dengan indikasi asal dan tujuan – Aktivitas proses,
yang merinci praktik lebih lanjut
sPanduan terkait —Referensi ke standar lain dan arahan untuk panduan tambahan
Untuk beberapa input/output, 'internal' tujuan disebutkan. Artinya input/output adalah antar aktivitas dalam proses yang sama.
6
Hanya tujuan terkait TI dengan 'P' dalam tabel pemetaan antara tujuan dan proses terkait TI (gambar 17) yang tercantum di sini.
: MENGAKTIFKAN PROSES
Gambar 11—Keluaran
Keluaran untuk semua Proses
Dari Kunci
Praktik Deskripsi Keluaran Tujuan
APO13.02 Rencana penanganan risiko keamanan informasi Semua EDM; Semua AP; Semua BAI; Semua DSS; Semua MEA
Dari Kunci
Praktik Deskripsi Keluaran Tujuan
EDM01.03 Umpan balik tentang efektivitas dan kinerja tata kelola Semua EDM
Dari Kunci
Praktik Deskripsi Keluaran Tujuan
APO01.01 Aturan dasar komunikasi Semua AP; Semua BAI; Semua DSS; Semua MEA
APO01.03 Kebijakan terkait TI Semua AP; Semua BAI; Semua DSS; Semua MEA
APO01.04 #OMMUNICATIONSON)4TUJUAN Semua AP; Semua BAI; Semua DSS; Semua MEA
APO01.07 Peluang peningkatan proses Semua AP; Semua BAI; Semua DSS; Semua MEA
APO02.06 paket komunikasi Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.02 Standar manajemen mutu Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.04 Kualitas proses tujuan dan metrik layanan Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.06 Komunikasi tentang peningkatan berkelanjutan dan praktik terbaik Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.06 Contoh amalan yang baik untuk dibagikan Semua AP; Semua BAI; Semua DSS; Semua MEA
APO11.06 Hasil benchmark ulasan kualitas Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA01.02 Memantau target Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA01.04 Laporan kinerja Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA01.05 Tindakan perbaikan dan tugas Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.01 Hasil pemantauan dan tinjauan pengendalian internal Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.01 Hasil benchmarking dan evaluasi lainnya Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.03 Rencana dan kriteria penilaian diri Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.03 Hasil review penilaian diri Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.04 Kontrol kekurangan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.04 Tindakan perbaikan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.06 Rencana jaminan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.08 Lingkup yang disempurnakan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.08 Hasil tinjauan jaminan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA02.08 Laporan tinjauan jaminan Semua AP; Semua BAI; Semua DSS; Semua MEA
MEA03.02 Komunikasi tentang persyaratan kepatuhan yang diubah Semua AP; Semua BAI; Semua DSS; Semua MEA
Ada juga panduan tentang bagaimana proses akan dijalankan, yaitu panduan umum tentang bagaimana membangun, mengeksekusi, memantau
dan meningkatkan proses itu sendiri. Panduan ini bersifat umum—identik untuk setiap proses.
Dalam COBIT 4.1, kontrol proses berisi praktik baik yang tidak spesifik untuk proses apa pun, tetapi bersifat umum dan berlaku untuk semua
proses. Kontrol proses serupa dengan beberapa atribut maturitas generik dalam model maturitas COBIT 4.1.
Dalam COBIT 5, skema penilaian kapabilitas proses yang sesuai dengan ISO/IEC 15504 digunakan. Dalam skema ini, atribut kapabilitas milik
tingkat kapabilitas proses yang lebih tinggi menggambarkan bagaimana proses yang lebih baik dan lebih mampu dapat dibangun, sehingga
secara efektif menggantikan kontrol proses COBIT 4.1.
Ini adalah panduan terkait proses yang penting, dan untuk alasan itu gambar 12 berisi tinjauan tingkat tinggi dari kontrol proses
COBIT 4.1 dan atribut kemampuan proses berbasis ISO/IEC 15504 yang setara yang merupakan dasar untuk proses yang baik.
Gambar 12—COBIT 4.1 Kontrol Proses dan Atribut Kemampuan Proses ISO/IEC 15504 Terkait
COBIT 4.1 Atribut Kemampuan Proses ISO/IEC 15504 Terkait
: MENGAKTIFKAN PROSES
: MENGAKTIFKAN PROSES
Deskripsi proses
COBIT 5 ISI PANDUAN REFERENSI PROSES
Area: Pemerintahan
Domain: Evaluasi, Langsung dan Pantau
Menganalisis dan mengartikulasikan persyaratan untuk tata kelola TI perusahaan, dan menerapkan serta memelihara struktur, prinsip,
PROSES DAN PRAKTEK KELARITAS TANGGUNG JAWAB DAN WEWENANG UNTUK MENCAPAI MISI ENTERPRISE SASARAN DAN TUJUAN
1. Model pengambilan keputusan strategis untuk TI yang efektif dan selaras dengan s!TargetCLETIMEFORKUNCI KEPUTUSAN TARGET KUALITAS
THEENTERPRISE SINTERNALANDEXTERNALENVIRONMENTANDSTAKEHOLDER s, KEPUASAN PEMEGANG PENGEMBANGAN DIUKUR MELALUI SURVEI
persyaratan.
2. Sistem tata kelola TI tertanam di perusahaan. s.UMBEROFROLES TANGGUNG JAWAB DAN OTORITAS YANG DITENTUKAN
ditugaskan dan diterima oleh manajemen bisnis dan TI yang sesuai
s$SYARAT YANG DISETUJUI SELAMA PEMERINTAHANPRINCIPLEFUN)4AREEVIDENCES
dalam proses dan praktik (persentase proses dan praktik dengan
ketertelusuran yang jelas ke prinsip)
s.UMBEROFINSTANCESOFNON KEPATUHAN DENGANTHICALANDPROFESIONAL
pedoman perilaku
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
EDM01.01
Mengevaluasi ARCCR R C CCCCCCRCCC
sistem pemerintahan.
EDM01.02
ARCCR IRI Saya DI SINI Saya Saya I CCRC IIIIII
Mengarahkan sistem pemerintahan.
EDM01.03
ARCCR IRI Saya DI SINI Saya Saya I CCRC IIIIII
Memantau sistem tata kelola.
: MENGAKTIFKAN PROSES
#ONTINUALLYIDENTIFYANDENGAGEwithTHEENTERPRISE S
MEA03.02 Komunikasi tentang Prinsip panduan tata kelola Semua EDM
pemangku kepentingan, mendokumentasikan pemahaman
persyaratan kepatuhan perusahaan APO01.01
tentang PERSYARATANSANDMAKEAJUDGEMENTONTHECURRENTAND
yang diubah APO01.03
desain masa depan tata kelola TI perusahaan.
Di luar "USINESSENVIRONMENT" COBIT Model pengambilan keputusan Semua EDM
tren APO01.01
s2PERATURAN
Tingkat otoritas Semua EDM
KEPUTUSAN OVERNANCE
APO01.02
membuat model
s#PERATURAN PERUNDANG-
UNDANGAN statuta organisasi
Kegiatan
1. Menganalisis dan mengidentifikasi faktor lingkungan internal dan eksternal (kewajiban hukum, peraturan dan kontrak) dan tren dalam bisnis
lingkungan yang dapat mempengaruhi desain tata kelola.
3. Mempertimbangkan peraturan eksternal, undang-undang dan kewajiban kontrak dan menentukan bagaimana mereka harus diterapkan dalam tata kelola TI perusahaan.
4. Menyelaraskan penggunaan dan pemrosesan informasi secara etis dan dampaknya terhadap masyarakat, lingkungan alam, dan kepentingan pemangku kepentingan internal dan eksternal dengan
5. Menentukan implikasi dari lingkungan pengendalian perusahaan secara keseluruhan berkaitan dengan TI.
6. Mengartikulasikan prinsip-prinsip yang akan memandu desain tata kelola dan pengambilan keputusan TI.
5PAHAMI PEMBUATAN KEPUTUSAN KEPUTUSAN ENTERPRISE BUDAYA DAN TEKAD PEMBUATAN MODEL PEMBUATAN KEPUTUSAN OPTIMASI)4
8. Menentukan tingkat pendelegasian wewenang yang sesuai, termasuk aturan ambang batas, untuk keputusan TI.
Kegiatan
1. Mengkomunikasikan tata kelola prinsip-prinsip TI dan setuju dengan manajemen eksekutif tentang cara membangun kepemimpinan yang terinformasi dan berkomitmen.
2. Menetapkan atau mendelegasikan pembentukan struktur, proses, dan praktik tata kelola sesuai dengan prinsip desain yang disepakati.
3. Mengalokasikan tanggung jawab, wewenang dan akuntabilitas sesuai dengan prinsip-prinsip desain tata kelola yang disepakati, model pengambilan keputusan dan pendelegasian.
4. Pastikan bahwa mekanisme komunikasi dan pelaporan memberikan informasi yang tepat kepada mereka yang bertanggung jawab atas pengawasan dan pengambilan keputusan.
5. Mengarahkan agar staf mengikuti pedoman yang relevan untuk perilaku etis dan profesional dan memastikan bahwa konsekuensi dari ketidakpatuhan diketahui
dan ditegakkan.
6. Mengarahkan pembentukan sistem penghargaan untuk mempromosikan perubahan budaya yang diinginkan.
Kegiatan
1. Menilai efektivitas dan kinerja para pemangku kepentingan yang diberikan tanggung jawab dan wewenang yang didelegasikan untuk tata kelola TI perusahaan.
2. Secara berkala menilai apakah tata kelola mekanisme TI yang disepakati (struktur, prinsip, proses, dll.) telah ditetapkan dan beroperasi secara efektif.
3. Menilai efektivitas desain tata kelola dan mengidentifikasi tindakan untuk memperbaiki setiap penyimpangan yang ditemukan.
4. Menjaga pengawasan sejauh mana TI memenuhi kewajiban (peraturan, undang-undang, hukum umum, kontrak), kebijakan internal, standar dan
pedoman profesional.
6. Memantau mekanisme reguler dan rutin untuk memastikan bahwa penggunaan TI sesuai dengan kewajiban yang relevan (peraturan, undang-undang, hukum umum,
kontrak), standar dan pedoman.
)3/ )%#
s
Raja III 4 HEBOARD HARUS BERTANGGUNG JAWAB UNTUK TEKNOLOGI INFORMASI ) 4 TATA
s
KELOLA 4 HEBOARD HARUS DELEGASI MANAJEMENTERTANGGUNG JAWAB TERHADAP PELAKSANAANFAN
kerangka tata kelola TI.
: MENGAKTIFKAN PROSES
Area: Pemerintahan
Deskripsi Proses
Mengoptimalkan kontribusi nilai ke bisnis dari proses bisnis, layanan TI, dan aset TI yang dihasilkan dari investasi yang dilakukan oleh TI dengan biaya yang dapat diterima.
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASIWENEFITREALISATIONDIMONITORING melalui siklus
TERLEBIH DAHULU
06 Transparansi biaya, manfaat dan risiko TI s0ERCENTOINVESTMENTKASUS USAHADITENTUKAN DENGAN JELAS DAN DISETUJUI
YANG DIHARAPKAN)4 BIAYA TERKAITSANDBMANFAAT
s0ERCENTOF)4LAYANANDITENTUKAN DENGAN JELAS DAN DISETUJUI OPERASIONAL
BIAYA DAN MANFAAT YANG
DIHARAPKAN s3SURVEI KEPUASAN KUNCI PEMEGANG PEMANGKU KUNCI
TENTANG TINGKAT transparansi, pemahaman, dan keakuratan informasi keuangan TI
s.UMBEROFAPPROVEDINIATIVESHASILFROMINNOVATIVE)4IDEAS
1. Perusahaan mengamankan nilai optimal dari portofolionya yang disetujui s,EVELOFEXECUTIVEMANAGEMENTSATISFACTIONwith)4 SVALUEDELIVERY
Inisiatif, layanan, dan aset yang mendukung TI. dan biaya
s$EVIATIONBETWEENTARGETANDACTUALINVESTMENTCAMPURAN
s,EVELOFSTAKEHOLDERSFAKSI DENGAN KESABARAN PERUSAHAAN UNTUK
MENDAPATKAN nilai dari inisiatif yang mendukung TI
2. Nilai optimal diperoleh dari investasi TI melalui nilai efektif s.UMBEROFINCIDENTSTOCCURDUETOACTUALORATTEMPTEDCIRCUVENTION dari prinsip dan
praktik manajemen di perusahaan. praktik manajemen nilai yang mapan
s0ERCENTOF)4INITIATIVESINTHEOVERALLPORTFOLIOWHEREINSBEING
dikelola melalui siklus hidup penuh, KEPUASAN
3. Investasi berkemampuan TI individual memberikan kontribusi nilai yang optimal. PEMEGANG PEMEGANG KEMAMPUAN DENGAN PROGRESSTOWARDSIDENTIFIEDGOALS
DENGAN NILAI PENGIRIMAN BERDASARKAN
SURVEI s0ERCENTOFEXPECTEDVALUEREALISED
: MENGAKTIFKAN PROSES
Arahkan,
Evaluasi,
Pantau
dan
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
EDM02.01
ARRCR R CC CCCCCCRCCC
Mengevaluasi optimasi nilai.
EDM02.02
ARRCR IRI Saya Saya Saya Saya Saya Saya Saya Saya saya RC saya Saya Saya Saya Saya Saya Saya
EDM02.03
ARRCR R RCCCCCCCRCCC
Memantau optimasi nilai.
PENILAIAN TERHADAP PERUBAHAN INDIREKSI YANG PERLU DIPERLUKAN investasi jasa APO05.04
Kegiatan
1. Memahami persyaratan pemangku kepentingan; isu-isu strategis TI, seperti ketergantungan pada TI; dan wawasan teknologi dan kemampuan mengenai aktual dan
POTENSISIGNIFIKANSI)4STRATEGI ENTERPRISE UTAMA
2. Memahami elemen kunci tata kelola yang diperlukan untuk penyampaian nilai optimal yang andal, aman, dan hemat biaya dari penggunaan dan
layanan, aset, dan sumber daya TI baru.
3. Memahami dan secara teratur mendiskusikan peluang yang dapat muncul dari perubahan perusahaan yang dimungkinkan oleh teknologi saat ini, baru atau yang muncul, dan
mengoptimalkan nilai yang diciptakan dari peluang tersebut.
4. Memahami apa yang membentuk nilai bagi perusahaan, dan mempertimbangkan seberapa baik nilai itu dikomunikasikan, dipahami, dan diterapkan di seluruh
PROSES PERUSAHAAN
5. Mengevaluasi seberapa efektif strategi perusahaan dan TI telah diintegrasikan dan diselaraskan di dalam perusahaan dan dengan tujuan perusahaan untuk
memberikan nilai.
6. Memahami dan mempertimbangkan seberapa efektif peran, tanggung jawab, akuntabilitas, dan badan pembuat keputusan saat ini dalam memastikan penciptaan nilai dari
Investasi, layanan, dan aset yang mendukung TI.
7. Pertimbangkan seberapa baik pengelolaan investasi, layanan, dan aset yang mendukung TI sejalan dengan manajemen nilai dan keuangan perusahaan
praktek manajemen.
Kegiatan
1. Tentukan dan komunikasikan portofolio dan jenis investasi, kategori, kriteria, dan bobot relatif terhadap kriteria untuk memungkinkan relatif keseluruhan
nilai skor.
2. Tetapkan persyaratan untuk gerbang tahap dan tinjauan lain untuk signifikansi investasi bagi perusahaan dan risiko terkait, jadwal program, rencana pendanaan, dan penyampaian
kemampuan dan manfaat utama serta kontribusi berkelanjutan terhadap nilai.
3. Mengarahkan manajemen untuk mempertimbangkan potensi penggunaan TI yang inovatif yang memungkinkan perusahaan merespons peluang atau tantangan baru, melakukan
bisnis baru, meningkatkan daya saing, atau memperbaiki proses.
4. Mengarahkan setiap perubahan yang diperlukan dalam penugasan akuntabilitas dan tanggung jawab untuk melaksanakan portofolio investasi dan memberikan nilai dari proses
dan layanan bisnis.
5. Tetapkan dan komunikasikan tujuan penyampaian nilai tingkat perusahaan dan ukuran hasil untuk memungkinkan pemantauan yang efektif.
$IRECTANYREQUIREDCHANGESTOPORTFOLIOOINVESTMENTSANDSERVICESTOREALIGNWRRENTANDEXPECTEDENTERPRISEOBJEKTIFDAN ATAUKENDALA
7. Merekomendasikan pertimbangan inovasi potensial, perubahan organisasi atau perbaikan operasional yang dapat mendorong peningkatan nilai bagi
perusahaan dari inisiatif yang mendukung TI.
Kegiatan
2. Mengumpulkan data yang relevan, tepat waktu, lengkap, kredibel dan akurat untuk melaporkan kemajuan dalam memberikan nilai terhadap target. Dapatkan tampilan portofolio,
program, dan kinerja TI (kemampuan teknis dan operasional) yang ringkas, tingkat tinggi, menyeluruh yang mendukung pengambilan keputusan, dan memastikan bahwa hasil yang
diharapkan tercapai.
4. Setelah meninjau laporan, ambil tindakan manajemen yang sesuai sebagaimana diperlukan untuk memastikan bahwa nilai dioptimalkan.
5. Setelah meninjau laporan, pastikan bahwa tindakan korektif manajemen yang tepat dimulai dan dikendalikan.
COSO
)3/ )%#
s
Raja III )4HARUS SESUAI DENGAN TUJUAN KINERJA DAN KEBERLANJUTAN PERUSAHAAN
s
4HEBOARDHARUS MEMANTAU DAN MENGEVALUASISIGNIFIKAN)4INVESTASIDAN PENGELUARAN
: MENGAKTIFKAN PROSES
Deskripsi proses
COBIT 5 ISI PANDUAN REFERENSI PROSES
Area: Pemerintahan
Domain: Evaluasi, Langsung dan Pantau
% PASTI BAHWATHEENTERPRISE SRISKAPPETITEDANTOLERANSIPENGERTIANDIPERHATIKANDAN DIKOMUNIKASIDAN BAHWA RISIKO TERHADAP NILAI ENTERPRISE TERKAIT DENGAN PENGGUNAAN
TI diidentifikasi dan dikelola.
06 Transparansi biaya, manfaat dan risiko TI s0ERCENTOINVESTMENTKASUS USAHADITENTUKAN DENGAN JELAS DAN DISETUJUI
biaya dan manfaat terkait TI yang diharapkan
s0ERCENTOF)4LAYANANDITENTUKAN DENGAN JELAS DAN DISETUJUI OPERASIONAL
biaya dan manfaat yang diharapkan
s3SURVEI KEPUASAN KUNCI PEMEGANG PEMANGKU KEPENTINGAN TENTANG ELEVELOF
10 Keamanan informasi, infrastruktur pemrosesan dan aplikasi s.UMBEROFSECURITYINSIDENTMENGEMBULKAN KERUGIAN KEUANGAN GANGGUAN USAHA
atau rasa malu publik
s.UMBEROF)4LAYANAN TANPA PERSYARATAN KEAMANAN
s4IMETOGRANTHANGEANDREMOVEAKSES HAK ISTIMEWADIBANDINGKAN
tingkat layanan yang disepakati
s&REKUENSI PENILAIAN KEAMANANLAGAINSSTANDARDSANDGUIDELINES TERBARU
1. Ambang batas risiko ditetapkan dan dikomunikasikan serta risiko utama terkait TI s,EVELOFALIGNMENTANTARA)4RISK CANDENDERPRICERISK
dikenal. s.UMBEROFPOTENSIAL)4RISKIDENTIFIEDANDMANAGED
s2FRESHMENTRATEOFRISKFACTOREVALUASI
2. Perusahaan mengelola risiko kritis perusahaan terkait TI secara efektif dan efisien. s0ERCENTOFENTERPRISEPROJECTSTHATCONSIDER)4RISK
s0ERCENTOF)4RENCANA TINDAKAN RISIKO DILAKSANAKAN PADA WAKTU
3. Risiko perusahaan terkait TI tidak melebihi selera risiko dan dampak risiko TI terhadap s,EVELOFUNEXPECTEDENTERPRISEIMPACT
nilai perusahaan diidentifikasi dan dikelola. s0ERCENTOF)4RISKTATEXCEEDSENTERPRISERISKTOLERANSI
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
EDM03.01
ARCCRCR I RC I CCCRC C
Mengevaluasi manajemen risiko.
EDM03.02
ARCCRCR I Saya INI Saya I CCCRC IIIIII
Manajemen risiko langsung.
EDM03.03
ARCCRCR I Saya Dalam RR I Saya CCCRC Saya Saya Saya Saya saya IC
Memantau manajemen risiko.
: MENGAKTIFKAN PROSES
Kegiatan
3. Menentukan sejauh mana keselarasan strategi risiko TI dengan strategi risiko perusahaan.
4. Secara proaktif mengevaluasi faktor risiko TI sebelum keputusan strategis perusahaan yang tertunda dan memastikan bahwa keputusan perusahaan yang sadar risiko telah dibuat.
$ETERMINETHAT)4USEISSUBJECTTOAPESSESMEN DANEVALUASI SESUATU RISIKO YANG TEPAT SEBAGAIDESKRIBEDINRELEVANTSTANDAR INTERNASIONAL DANSTANDAR NASIONAL
Kegiatan
1. Mempromosikan budaya sadar risiko TI dan memberdayakan perusahaan untuk secara proaktif mengidentifikasi risiko TI, peluang, dan potensi dampak bisnis.
2. Mengarahkan integrasi strategi dan operasi risiko TI dengan keputusan dan operasi risiko strategis perusahaan.
3. Mengarahkan pengembangan rencana komunikasi risiko (mencakup semua tingkat perusahaan) serta rencana tindakan risiko.
4. Implementasi langsung dari mekanisme yang tepat untuk merespon dengan cepat terhadap perubahan risiko dan segera melaporkan ke tingkat manajemen yang sesuai,
didukung oleh prinsip-prinsip eskalasi yang disepakati (apa yang harus dilaporkan, kapan, di mana, dan bagaimana).
5. Mengarahkan bahwa risiko, peluang, masalah, dan kekhawatiran dapat diidentifikasi dan dilaporkan oleh siapa saja kapan saja. Risiko harus dikelola sesuai dengan
kebijakan dan prosedur yang diterbitkan dan dieskalasi ke pengambil keputusan yang relevan.
6. Mengidentifikasi tujuan utama dan metrik dari tata kelola risiko dan proses manajemen yang akan dipantau, dan menyetujui pendekatan, metode, teknik dan proses untuk menangkap
dan melaporkan informasi pengukuran.
Kegiatan
1. Memantau sejauh mana profil risiko dikelola dalam batas risk appetite.
2. Memantau tujuan utama dan metrik dari tata kelola risiko dan proses manajemen terhadap target, menganalisis penyebab penyimpangan, dan memulai
tindakan perbaikan untuk mengatasi penyebab yang mendasarinya.
4. Melaporkan setiap masalah manajemen risiko kepada dewan atau komite eksekutif.
#/3/ %2-
)3/ )%#
s
Raja III )4HARUS MEMBANTU SEBAGIAN MANAJEMEN RISIKO PERUSAHAAN !
s
KOMITE RISIKO DAN KOMITE AUDIT HARUS MEMBANTU PAPAN MELAKUKANNYA)4 TANGGUNG JAWAB
: MENGAKTIFKAN PROSES
Deskripsi proses
COBIT 5 ISI PANDUAN REFERENSI PROSES
Area: Pemerintahan
%NSURETHATACUKUP DAN CUKUP)4 KEMAMPUAN TERKAIT PROSES DAN TEKNOLOGI TERSEDIA UNTUK MENDUKUNG ENTERPRISE TUJUAN SECARA EFEKTIF
biaya optimal.
11 Optimalisasi aset, sumber daya, dan kemampuan TI PENILAIAN KEMATIAN DAN KOSTOPTIMISASI KEMATIAN DAN PERMINTAAN
s4RENDOFASSESSMENTHASIL
s3TINGKAT KEPUASAN BISNISDAN)4EKSEKUTIF DENGAN)4 BIAYA TERKAIT
dan kemampuan
16 Personel bisnis dan TI yang kompeten dan termotivasi s0ERCENTOFSTAFFyang)4 KETERAMPILAN TERKAITCUKUPUNTUK KOMPETENSI
diperlukan untuk peran mereka
s0ERCENTOFSTAFFPUAS DENGAN MEREKA)4 PERAN TERKAIT
s.UMBEROFLEARNING TRAININGHOURSPERSTAFFMEMBER
1. Kebutuhan sumber daya perusahaan terpenuhi dengan kemampuan yang optimal. s,EVELOFSTAKEHOLDERFEEDBACKONRESOURCEOPTIMISATION
s.UMBEROFBMANFAAT misal HEMAT BIAYA DICAPAI MELALUI
pemanfaatan sumber daya
s.UMBEROFDEVIATIONFROMTHERCEPLANDENTERPRISE
strategi arsitektur
2. Sumber daya dialokasikan untuk memenuhi prioritas perusahaan sesuai anggaran s.UMBEROFDEVIATIONSFROMANDEXCEPTIONSTORESOURCE
kendala. prinsip manajemen
s0ERCENTOFPROJECTS DENGAN ALOKASI SUMBER DAYA YANG TEPAT
3. Penggunaan sumber daya yang optimal dicapai secara penuh KOMPONEN KOMPONEN FARSITEKTUR PENGGUNAAN LEBIH CEPAT
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
EDM04.01
ARCCR R Saya CCCCCCCCRCCC
Mengevaluasi manajemen sumber daya.
EDM04.02
ARCCR IRI Saya Saya Saya Saya Saya Saya Saya Saya saya RC saya Saya Saya Saya Saya Saya Saya
EDM04.03
ARCCR IRI Saya 1 333 33 43
Memantau manajemen sumber daya.
: MENGAKTIFKAN PROSES
#ONTINUALLYEXAMINEANDMAKEJudgeMENTONTHE
APO02.04 Kesenjangan dan perubahan Prinsip-prinsip panduan APO02.01
kebutuhan saat ini dan masa depan untuk sumber daya
yang diperlukan untuk mewujudkan untuk alokasi sumber daya dan APO07.01
terkait TI, opsi untuk sumber daya (termasuk strategi sumber), dan
kemampuan target kemampuan BAI03.11
prinsip alokasi dan manajemen untuk memenuhi kebutuhan
perusahaan secara optimal. APO07.03 Rencana pengembangan keterampilan Prinsip panduan untuk APO03.01
arsitektur perusahaan
APO10.02 Hasil keputusan evaluasi pemasok Rencana sumber daya yang disetujui APO02.05
APO07.01
APO09.02
Kegiatan
2. Menentukan prinsip-prinsip untuk memandu alokasi dan pengelolaan sumber daya dan kapabilitas sehingga TI dapat memenuhi kebutuhan perusahaan, dengan:
kemampuan dan kapasitas yang dibutuhkan sesuai dengan prioritas yang telah disepakati dan kendala anggaran.
3. Meninjau dan menyetujui rencana sumber daya dan strategi arsitektur perusahaan untuk memberikan nilai dan mengurangi risiko dengan sumber daya yang dialokasikan.
4. Memahami persyaratan untuk menyelaraskan manajemen sumber daya dengan perencanaan keuangan dan sumber daya manusia (SDM) perusahaan.
Kegiatan
1. Mengkomunikasikan dan mendorong penerapan strategi manajemen sumber daya, prinsip, dan rencana sumber daya dan perusahaan yang disepakati
strategi arsitektur.
3. Tentukan tujuan utama, ukuran dan metrik untuk pengelolaan sumber daya.
5. Menyelaraskan pengelolaan sumber daya dengan perencanaan keuangan dan SDM perusahaan.
Kegiatan
-ONITORTHEALOKASIDAN OPTIMASI SUMBERDAYA SESUAI DENGAN TUJUAN ENTERPRISE DAN PRIORITAS MENGGUNAKAN ONGOALSANDMETRIK YANG SETUJU
2. Memantau strategi sumber TI, strategi arsitektur perusahaan, sumber daya dan kemampuan TI untuk memastikan bahwa kebutuhan saat ini dan masa depan dari
perusahaan dapat terpenuhi.
3. Memantau kinerja sumber daya terhadap target, menganalisis penyebab penyimpangan, dan memulai tindakan perbaikan untuk mengatasi penyebab yang mendasarinya.
)3/ )%#
Raja III 5.6. Dewan harus memastikan bahwa aset informasi dikelola secara efektif.
Forum Arsitektur Grup Terbuka Komponen TOGAF dari Dewan Arsitektur, Tata Kelola Arsitektur, dan Model Kematangan Arsitektur dipetakan
(TOGAF) 9 ke pengoptimalan sumber daya.
: MENGAKTIFKAN PROSES
Deskripsi proses
COBIT 5 ISI PANDUAN REFERENSI PROSES
Area: Pemerintahan
Domain: Evaluasi, Langsung dan Pantau
Pastikan bahwa kinerja TI perusahaan dan pengukuran serta pelaporan kesesuaian transparan, dengan pemangku kepentingan menyetujui tujuan dan metrik serta tindakan
perbaikan yang diperlukan.
06 Transparansi biaya, manfaat dan risiko TI s0ERCENTOINVESTMENTKASUS USAHADITENTUKAN DENGAN JELAS DAN DISETUJUI
biaya dan manfaat terkait TI yang diharapkan
s0ERCENTOF)4LAYANANDITENTUKAN DENGAN JELAS DAN DISETUJUI OPERASIONAL
biaya dan manfaat yang diharapkan
s3SURVEI KEPUASAN KUNCI PEMEGANG PEMANGKU KEPENTINGAN TENTANG ELEVELOF
1. Pelaporan pemangku kepentingan sejalan dengan persyaratan pemangku kepentingan. s$ATEOFLASTREVISIONTORPERSYARATAN PELAPORAN
s0ERCENTOFSTAKEHOLDERSCOVEREDINPERSYARATAN PELAPORAN
3. Komunikasi efektif dan pemangku kepentingan puas. s, KEPUASAN PEMEGANG PEMEGANG PEMANGKU KEPENTINGAN DENGAN PELAPORAN
s.UMBEROFBREACHESOFWAJIB PELAPORANPERSYARATAN
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
EDM05.01
pemangku kepentingan.
EDM05.02
Komunikasi dan ARCCC I CCR I Saya
EDM05.03
Memantau komunikasi ARCCC I CCR I Saya
pemangku kepentingan.
: MENGAKTIFKAN PROSES
Kegiatan
%XAMINE DAN MEMBUAT PENILAIAN PADA SAAT INI DAN MASA DEPAN PERSYARATAN PELAPORAN WAJIB TERKAIT DENGAN PENGGUNAAN) 4 DALAM PERATURAN
PERUSAHAAN PERATURAN, hukum umum, kontrak), termasuk luas dan frekuensi.
%XAMINEDAN MEMBUAT PENILAIAN PADA SAAT INI DAN MASA DEPAN PERSYARATAN PELAPORAN UNTUK PEMEGANG PEMANGKU KEPENTINGAN LAIN YANG TERKAIT DENGAN PENGGUNAANNYA)4 DALAM
3. Menjaga prinsip-prinsip komunikasi dengan pemangku kepentingan eksternal dan internal, termasuk format komunikasi dan saluran komunikasi, dan
untuk penerimaan pemangku kepentingan dan penandatanganan pelaporan.
Kegiatan
1. Mengarahkan penetapan strategi komunikasi bagi pemangku kepentingan eksternal dan internal.
2. Mengarahkan implementasi mekanisme untuk memastikan bahwa informasi memenuhi semua kriteria untuk persyaratan pelaporan TI wajib bagi perusahaan.
Kegiatan
1. Secara berkala menilai efektivitas mekanisme untuk memastikan keakuratan dan keandalan pelaporan wajib.
2. Secara berkala menilai efektivitas mekanisme, dan hasil dari, komunikasi dengan pemangku kepentingan eksternal dan internal.
COSO
)3/ )%#
Raja III
02 Mengelola strategi.
04 Mengelola inovasi.
05 Mengelola portofolio.
08 Mengelola hubungan.
10 Mengelola pemasok.
11 Kelola kualitas.
12 Mengelola risiko.
13 Mengelola keamanan.
: MENGAKTIFKAN PROSES
Area: Manajemen
APO01 Manage the IT Management Framework Process Domain: Sejajarkan, Rencanakan, dan Atur
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan COMPLIANCEISSUESREPORTEDTOTHEBOARDOR causing public comment or
eksternal embarrassment s.UMBEROFNON
COMPLIANCEISSUESRELATINGTOCONTRACTUALAGREEMENTS with IT service
providers s#OVERAGEOFCOMPLIANCEASSESSMENTS
s,EVELOFSATISFACTIONOFBUSINESSEXECUTIVESWITH )4 SRESPONSIVENESSTO
persyaratan baru s.UMBEROFCRITICALBUSINESSPROCESSDIDUKUNG BYUP TO
DATE infrastruktur dan aplikasi s!VERAGETIMETOTURNSTRATEGIC)4OBJECTIVESINTOANA
TERKAIT
16 Personel bisnis dan TI yang kompeten dan termotivasi RELATEDSKILLSARESUFFICIENTFORTHECOMPETENCY required for their role
s0ERCENTOFSTAFFSATISFIEDWITHTHEIR)4 RELATEDROLES s.UMBEROFLEARNING
TRAININGHOURSPERSTAFFMEMBER
s,EVELOFBUSINESSEXECUTIVEAWARENESSANDUNDERSTANDINGOF)4 innovation
dan ide-ide
s.UMBEROFAPPROVEDINIATIVESHASILFROMINNOVATIVE)4IDEAS
2. Setiap orang mengetahui kebijakan dan bagaimana kebijakan tersebut harus diterapkan. s.UMBEROFSTAFFWHOATTENDEDPELATIHANORAWARENESSSESSIONS
s0ERCENTOFTHIRD PIHAK PEMASOK YANG MEMILIKI KONTRAK
MENDEFINISIKAN persyaratan kontrol
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO01.02
Menetapkan peran IC C CCCACCCRCCCC
dan tanggung jawab.
Rencanakan,
Sejajarkan,
Atur
dan
APO01.03
Menjaga enabler dari sistem CACRCC I CCCC CCR R
manajemen.
APO01.04
Manajemen komunikasi ARRR ENVY Saya Dalam RR I Saya Saya Saya INI Saya Saya Saya Saya Saya Saya Saya
APO01.06
Mendefinisikan informasi (data) Saya AKU MOBIL 330 CC
dan kepemilikan sistem.
APO01.07
Mengelola perbaikan proses yang SEBUAH R R C Saya CCRRRRRRRR
berkelanjutan.
APO01.08
Menjaga kepatuhan SEBUAH R R R RC I RRRRRRRR
terhadap kebijakan dan prosedur.
Semua DSS
Segala hal
APO01.01 Kegiatan
1. Tentukan ruang lingkup, fungsi internal dan eksternal, peran internal dan eksternal, serta kemampuan dan hak keputusan yang diperlukan, termasuk aktivitas TI tersebut
dilakukan oleh pihak ketiga.
2. Mengidentifikasi keputusan yang diperlukan untuk pencapaian hasil perusahaan dan strategi TI, dan untuk pengelolaan dan pelaksanaan layanan TI.
3. Membangun keterlibatan pemangku kepentingan yang penting untuk pengambilan keputusan (akuntabel, bertanggung jawab, berkonsultasi atau diinformasikan).
5. Menentukan fokus, peran dan tanggung jawab masing-masing fungsi dalam struktur organisasi terkait TI.
6. Menetapkan struktur dan hubungan manajemen untuk mendukung fungsi dan peran manajemen dan pelaksanaan, sejalan dengan
arah pemerintahan ditetapkan.
7. Membentuk komite strategi TI (atau setara) di tingkat dewan. Komite ini harus memastikan bahwa tata kelola TI, sebagai bagian dari perusahaan
TATA KELOLA YANGCUKUP DITANGGUNGI SARAN STRATEGI ARAH DAN TINJAUAN INVESTASI UTAMASONBEHALFOPAPAN PENUH
8. Membentuk komite pengarah TI (atau yang setara) yang terdiri dari eksekutif, bisnis, dan manajemen TI untuk menentukan prioritas PROGRAM INVESTASI yang mendukung TI
DALAM STRATEGI BISNIS ENTERPRISE DAN TRACKSTATU PRIORITAS PROYEKSANDRESOLVERES KONFLIK SUMBER DAN
memantau tingkat layanan dan peningkatan layanan.
10. Tetapkan aturan dasar untuk komunikasi dengan mengidentifikasi kebutuhan komunikasi, dan menerapkan rencana berdasarkan kebutuhan tersebut, dengan mempertimbangkan top-down,
komunikasi dari bawah ke atas dan horizontal.
11. Membangun dan memelihara koordinasi, komunikasi, dan struktur penghubung yang optimal antara fungsi bisnis dan TI dalam perusahaan
dan dengan entitas di luar perusahaan.
Kegiatan
1. Menetapkan, menyepakati, dan mengomunikasikan peran dan tanggung jawab terkait TI untuk semua personel di perusahaan, sejalan dengan kebutuhan dan TUJUAN bisnis
2. Pertimbangkan persyaratan dari perusahaan dan kontinuitas layanan TI saat menentukan peran, termasuk persyaratan cadangan staf dan pelatihan silang.
3. Memberikan masukan untuk proses kesinambungan layanan TI dengan mempertahankan informasi kontak dan deskripsi peran yang up-to-date di perusahaan.
4. Memasukkan dalam uraian peran dan tanggung jawab kepatuhan terhadap kebijakan dan prosedur manajemen, kode etik, dan praktik profesional.
5. Menerapkan praktik pengawasan yang memadai untuk memastikan bahwa peran dan tanggung jawab dilaksanakan dengan benar, untuk menilai apakah semua personel telah
wewenang dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawab mereka, dan untuk meninjau kinerja secara umum. Tingkat pengawasan harus sesuai dengan kepekaan
posisi dan luasnya tanggung jawab yang diberikan.
7. Susun peran dan tanggung jawab untuk mengurangi kemungkinan peran tunggal membahayakan proses kritis.
: MENGAKTIFKAN PROSES
Kegiatan
#ONSIDERTHEENTERPRISE SINTERNALENVIRONMENTTERMASUK MANAJEMEN BUDAYA DAN FILOSOFIRISKTOLERANSI KEAMANANNILAI ETIKAKODE PERILAKUakuntabilitas, dan
persyaratan untuk integritas manajemen.
4. Menyelaraskan lingkungan pengendalian TI dengan lingkungan kebijakan TI secara keseluruhan, tata kelola TI dan kerangka proses TI, serta kerangka kerja risiko dan pengendalian tingkat
perusahaan yang ada. Menilai praktik atau persyaratan yang baik untuk industri tertentu (misalnya, peraturan khusus industri) dan mengintegrasikannya jika sesuai.
5. Menyelaraskan dengan tata kelola dan standar manajemen dan standar nasional dan internasional yang berlaku dan kode praktik, dan mengevaluasi PRAKTEKSSUCHAS#/3/
SINPengendalian Internal—Kerangka Terpadu DAN#/3/ SENerprise Risk Management—Kerangka Kerja Terpadu yang tersedia.
6. Membuat serangkaian kebijakan untuk mendorong ekspektasi kontrol TI pada topik utama yang relevan seperti kualitas, keamanan, kerahasiaan, kontrol internal, penggunaan aset TI, etika, dan
hak kekayaan intelektual.
7. Mengevaluasi dan memperbarui kebijakan setidaknya setiap tahun untuk mengakomodasi perubahan lingkungan operasi atau bisnis.
8. Luncurkan dan terapkan kebijakan TI kepada semua staf yang relevan, sehingga kebijakan tersebut terintegrasi ke dalam, dan merupakan bagian integral dari, operasi perusahaan.
9. Pastikan bahwa ada prosedur untuk melacak kepatuhan terhadap kebijakan dan menentukan konsekuensi dari ketidakpatuhan.
APO12.06 Komunikasi
dampak risiko
pengetahuan
Kegiatan
3. Menyediakan sumber daya yang cukup dan terampil untuk mendukung proses komunikasi.
Kegiatan
1. Memahami konteks penempatan fungsi TI, termasuk penilaian terhadap strategi perusahaan dan model operasi (terpusat,
federasi, desentralisasi, hibrida), pentingnya TI, dan situasi serta opsi sumber.
2. Mengidentifikasi, mengevaluasi dan memprioritaskan pilihan untuk penempatan organisasi, sumber dan model operasi.
Kegiatan
1. Memberikan kebijakan dan pedoman untuk memastikan klasifikasi informasi (data) yang tepat dan konsisten di seluruh perusahaan.
2. Menentukan, memelihara, dan menyediakan alat, teknik, dan pedoman yang tepat untuk memberikan keamanan dan kontrol yang efektif atas informasi dan informasi
sistem bekerja sama dengan pemilik.
3. Membuat dan memelihara inventaris informasi (sistem dan data) yang mencakup daftar pemilik, penjaga, dan klasifikasi. Sertakan sistem
yang dialihdayakan dan yang kepemilikannya harus tetap berada di dalam perusahaan.
4. Tetapkan dan terapkan prosedur untuk memastikan integritas dan konsistensi semua informasi yang disimpan dalam bentuk elektronik seperti database, data
gudang dan arsip data.
panduan implementasi proses, standar yang muncul, persyaratan prosedur, dan standar proses Semua BAI
kepatuhan, peluang otomatisasi, dan umpan balik dari pengguna yang diperbarui Semua DSS
proses, tim proses, dan pemangku kepentingan lainnya. Perbarui Segala hal
Kegiatan
1. Mengidentifikasi proses bisnis-kritis berdasarkan driver kinerja dan kesesuaian dan risiko terkait. Menilai kemampuan proses dan mengidentifikasi
target perbaikan. Menganalisis kesenjangan dalam kemampuan proses dan kontrol. Mengidentifikasi pilihan untuk perbaikan dan mendesain ulang proses. Memprioritaskan
inisiatif untuk perbaikan proses berdasarkan potensi manfaat dan biaya.
2. Menerapkan peningkatan yang disepakati, beroperasi sebagai praktik bisnis normal, dan menetapkan sasaran dan metrik kinerja untuk memungkinkan pemantauan
perbaikan proses.
3. Pertimbangkan cara untuk meningkatkan efisiensi dan efektivitas (misalnya, melalui pelatihan, dokumentasi, standarisasi dan otomatisasi proses).
5. Menghentikan proses, komponen proses, atau pengaktif yang sudah ketinggalan zaman.
: MENGAKTIFKAN PROSES
Kegiatan
2. Menganalisis ketidakpatuhan dan mengambil tindakan yang tepat (ini dapat mencakup perubahan persyaratan).
)PENTINGKAN KINERJA DAN KEPATUHAN TERHADAP TUJUAN KINERJA ANGGOTA STAF INDIVIDU
2 SETIAP MENILAI KINERJA PENDUKUNG KERANGKA KERJA DAN MELAKUKAN TINDAKAN PENDAPATAN
5. Menganalisis tren dalam kinerja dan kepatuhan dan mengambil tindakan yang tepat.
)3/ )%# s
-TANGGUNG JAWAB MANAJEMEN
s
#PERBAIKAN SECARA LANGSUNG
Area: Manajemen
APO02 Kelola Strategi Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Memberikan pandangan holistik tentang bisnis saat ini dan lingkungan TI, arah masa depan, dan inisiatif yang diperlukan untuk bermigrasi ke lingkungan masa depan yang diinginkan.
Memanfaatkan blok bangunan dan komponen arsitektur perusahaan, termasuk layanan yang disediakan secara eksternal dan kemampuan terkait untuk mengaktifkan
NIMBLERELIABLEANDEFFICIENTRESPONSETOSTRATEGICOBJECTIVES Pernyataan Tujuan Proses
!LIGNSTRATEGIC)4PLANSWITHBUSINESSOBJECTIVES #LEARLYCOMMUNICATETHEOBJECTIVESANDASOCIATEDACCOUNTABILITIESOHEYAREUNDERSTOODBYALLWITH
pilihan strategis TI diidentifikasi, terstruktur dan terintegrasi dengan rencana bisnis.
KEPUASAN PEMEGANG PEMANGKU KEPENTINGAN TERHADAP FOLIOF RUANG LINGKUP YANG DIRENCANAKAN
s.UMBEROFAPPROVEDINIATIVESHASILFROMINNOVATIVE)4IDEAS
1. Semua aspek strategi TI diselaraskan dengan strategi perusahaan. s0ERCENTOFOOBJECTIVESINTHE)4STRATEGI YANG MENDUKUNG
strategi perusahaan
s0ERCENTOFENTERPRISEOBJECTIVESADDRESSEDINTHE)4STRATEGI
3. Tujuan jangka pendek yang jelas dan konkret dapat diturunkan dari, dan ditelusuri kembali s0ERCENTOFPROJECTSINTHE)4PROYEKPORTFOLIOTBISA LANGSUNG DITRACAKSI
ke, inisiatif jangka panjang yang spesifik, dan kemudian dapat diterjemahkan ke dalam kembali ke strategi TI
rencana operasional.
s.UMBEROFNEWENTERPRISEOPPORTUNITIESREALISEDASADIRECTRESULTOF
perkembangan TI
s0ERCENTOF)4INITIATIVES PROJECTSCHAMPIONEDBYBUSINESSOWNERS
5. Ada kesadaran akan strategi TI dan penugasan akuntabilitas yang jelas untuk s!CHIEVEMENTOFMEASURABLE)4STRATEGYOUTCOMESPARTOFSTAFF
pengiriman. tujuan kinerja
s&REQUENCYOFUPDATESTOTHE)4RENCANA KOMUNIKASI STRATEGI
s0ERCENTOFSTRATEGICINTIATIVESWITHACCOUNTABILITYDITUTAKAN
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
Saya
APO02.05
Menetapkan rencana strategis CI CC C R CC CCA CCCCCC
dan peta jalan.
APO02.06
Mengkomunikasikan strategi IRI IRIAI I Saya Saya Saya Saya Saya Saya saya IRI saya Saya Saya Saya Saya Saya Saya
$EVELOPANDMAINTAINANPENGERTIANOFENTERPRISESTRATEGYANDOBJECTIVESASWELLASTHECURRENTENTERPRISEOPERATIONALENVIRONMENTANDTANTANGAN
3. Identifikasi pemangku kepentingan utama dan dapatkan wawasan tentang kebutuhan mereka.
6. Memahami arsitektur perusahaan saat ini dan bekerja dengan proses arsitektur perusahaan untuk menentukan potensi celah arsitektur.
APO12.05 0ROJECTPROPOSALFOR
mengurangi risiko
BAI04.03 s0ERFORMANCEDAN
rencana kapasitas
s0RIORITISED PENINGKATAN
BAI09.04 s/PPORTUNITIESTOREDUCE
biaya aset atau peningkatan
nilai
s2ESULTSOFCOST
ulasan pengoptimalan
Kegiatan
1. Mengembangkan dasar dari lingkungan bisnis dan TI saat ini, kemampuan dan layanan yang dapat dibandingkan dengan kebutuhan masa depan. Sertakan detail tingkat tinggi yang relevan
dari arsitektur perusahaan saat ini (bisnis, informasi, data, aplikasi dan domain teknologi), proses bisnis, proses dan prosedur TI, struktur organisasi TI, penyediaan layanan eksternal, tata
kelola TI, dan terkait TI di seluruh perusahaan keterampilan dan kompetensi.
3. Mengidentifikasi kesenjangan antara kemampuan dan layanan bisnis dan TI saat ini dan standar referensi dan praktik terbaik, bisnis pesaing dan kemampuan TI, dan tolok ukur
komparatif dari praktik terbaik dan penyediaan layanan TI yang muncul.
4. Identifikasi masalah, kekuatan, peluang dan ancaman di lingkungan saat ini, kemampuan dan layanan untuk memahami kinerja saat ini. Mengidentifikasi AREASFORIMPENGEMBANGAN
INTERMSOF)4 SCONTRIBUTIONTOENTERPRISEOBJECTIVES
: MENGAKTIFKAN PROSES
Kegiatan
2. Identifikasi ancaman dari teknologi yang menurun, saat ini dan yang baru diperoleh.
4. Tentukan proses bisnis yang diperlukan dan diinginkan serta kapabilitas TI dan layanan TI dan jelaskan perubahan tingkat tinggi dalam arsitektur perusahaan
(domain bisnis, informasi, data, aplikasi dan teknologi), proses dan prosedur bisnis dan TI, struktur organisasi TI, penyedia layanan TI, tata kelola TI, serta keterampilan dan kompetensi TI.
5. Sejajarkan dan setujui dengan arsitek perusahaan tentang perubahan arsitektur perusahaan yang diusulkan.
APO05.02 Ekspektasi
pengembalian investasi
Kegiatan
1. Identifikasi semua kesenjangan dan perubahan yang diperlukan untuk mewujudkan lingkungan sasaran.
2. Pertimbangkan implikasi tingkat tinggi dari semua kesenjangan. Pertimbangkan nilai potensi perubahan pada bisnis dan kapabilitas TI, layanan TI, dan perusahaan
arsitektur, dan implikasinya jika tidak ada perubahan yang direalisasikan.
3. Menilai dampak perubahan potensial pada model operasi bisnis dan TI, kemampuan penelitian dan pengembangan TI, dan
program investasi TI.
4. Perbaiki definisi lingkungan target dan siapkan pernyataan nilai dengan manfaat lingkungan target.
APO02.05 Menetapkan rencana strategis dan peta jalan. Dari Keterangan Keterangan Ke
Buat rencana strategis yang mendefinisikan, dalam kerjasama dengan
EDM04.01 Rencana sumber daya yang disetujui Definisi inisiatif strategis APO05.01
pemangku kepentingan yang relevan, bagaimana tujuan yang terkait
dengan TI akan MEMPENGARUHI STRATEGI ENTERPRISE ) TERMASUK
bagaimana TI akan mendukung program investasi yang mendukung EDM04.03 s&EEDBACKONALLOCATION Tugas beresiko APO05.01
TI, proses bisnis, layanan TI, dan aset TI. Arahkan TI untuk dan efektivitas sumber APO12.01
menentukan inisiatif yang akan diperlukan untuk menutup kesenjangan, daya dan kemampuan
strategi sumber dan pengukuran yang akan digunakan untuk memantau
pencapaian tujuan, kemudian memprioritaskan inisiatif dan s2MEDIALAKSI
menggabungkannya dalam peta jalan tingkat tinggi. untuk mengatasi
implementasi dan
strategi migrasi
s"UDGETKOMUNIKASI
BAI09.05 !CTIONPLANTOADJUST
nomor dan alokasi
lisensi
Kegiatan
2. Mengidentifikasi dan menangani secara memadai risiko, biaya, dan implikasi dari perubahan organisasi, evolusi teknologi, persyaratan peraturan, bisnis
proses rekayasa ulang, penempatan staf, peluang insourcing dan outsourcing, dll., dalam proses perencanaan.
3. Menentukan ketergantungan, tumpang tindih, sinergi dan dampak antar inisiatif, dan memprioritaskan inisiatif.
5. Buat peta jalan yang menunjukkan penjadwalan relatif dan saling ketergantungan inisiatif.
4RANSLATETHEOBJECTIVESINTOOUTCOMEMEASURESRESENTEDBYMETRICS APA DAN SASARAN BAGAIMANA DAPAT BERHUBUNGAN DENGAN MANFAAT USAHA 7. Secara formal
mendapatkan dukungan dari pemangku kepentingan dan mendapatkan persetujuan untuk rencana tersebut.
: MENGAKTIFKAN PROSES
Segala hal
Kegiatan
1. Mengembangkan dan memelihara jaringan untuk mendukung, mendukung, dan mendorong strategi TI.
$EVELOPACOMMUNICATIONPLANCOVERINGTHEREQUIREDMESSAGESTARGETAUDIENCESCHANNELMEKANISME KOMUNIKASISJADWAL
3. Siapkan paket komunikasi yang menyampaikan rencana secara efektif dengan menggunakan media dan teknologi yang tersedia.
4. Dapatkan umpan balik dan perbarui rencana komunikasi dan pengiriman sesuai kebutuhan.
)3/ )%# s
0LANNINGANDIMPLEMENTINGSERVICEMANAGEMENT
s
0LANNINGDAN MELAKSANAKAN LAYANAN PERUBAHAN BARU
Area: Manajemen
APO03 Manage Enterprise Architecture Deskripsi Domain: Sejajarkan, Rencanakan, dan Atur
TI:
4. Kerangka kerja dan metodologi arsitektur perusahaan yang umum sebagai s0ERCENTOFPROJECTSTHATUTILISETHEFRAMEWORKANDMETODLOGYTORE GUNAKAN
serta repositori arsitektur terintegrasi digunakan untuk memungkinkan efisiensi penggunaan komponen yang ditentukan s.UMBEROFPEOPLETRAINEDINTTEMETHODLOGYANDTOOLSET
kembali di seluruh perusahaan. s.UMBEROFEXCEPTIONSTOARCHITECTURESTANDARSANDBASELINEDITERAPKAN untuk
dan diberikan
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO03.02
CCCRCR CACCCCRRCCC C
Mendefinisikan arsitektur referensi.
Rencanakan,
Sejajarkan,
Atur
dan
APO03.05
Menyediakan ACRCCR CRCCCCRRCCC C
layanan arsitektur perusahaan.
APO03.01 Kegiatan
2. Identifikasi tujuan perusahaan dan penggerak strategis perusahaan dan tentukan kendala yang harus ditangani, termasuk di seluruh perusahaan
KENDALA DAN KHUSUS PROYEKKENDALA JADWAL WAKTU SUMBER DAYA
!LIGNARSITEKTUROBJEKTIFWITHSTRATEGISPROGRAMMEPRIORITAS
4. Pahami kapabilitas dan keinginan bisnis, kemudian identifikasi opsi untuk merealisasikan kapabilitas tersebut.
!SSESSTHEENTERPRISE SREADINESSFORCHANGE
6. Tentukan apa yang ada di dalam dan apa yang berada di luar ruang lingkup arsitektur baseline dan upaya arsitektur target, memahami bahwa baseline dan
target tidak perlu dijelaskan pada tingkat detail yang sama.
7. Mengonfirmasi dan menguraikan prinsip-prinsip arsitektur, termasuk prinsip-prinsip perusahaan. Pastikan bahwa definisi yang ada saat ini dan klarifikasi area mana pun
ambiguitas.
9. Berdasarkan keprihatinan pemangku kepentingan, persyaratan kemampuan bisnis, ruang lingkup, batasan dan prinsip, buat visi arsitektur: tampilan tingkat tinggi
dari arsitektur dasar dan target.
11. Mengidentifikasi risiko perubahan perusahaan yang terkait dengan visi arsitektur, menilai tingkat risiko awal (misalnya, kritis, marjinal atau dapat diabaikan) dan
mengembangkan strategi mitigasi untuk setiap risiko signifikan.
$EVELOPANENTERPRISEARCHITECTURECONCEPTBUSINESSCASEOUTLINEPLANSANDSTATEMENTOFARCHITECTUREWORKANDSECUREAPPROVALTOINITIATEAPROJECT
selaras dan terintegrasi dengan strategi perusahaan.
: MENGAKTIFKAN PROSES
APO03.02 Kegiatan
1. Memelihara repositori arsitektur yang berisi standar, komponen yang dapat digunakan kembali, artefak pemodelan, hubungan, dependensi, dan tampilan untuk memungkinkan
keseragaman organisasi arsitektur dan pemeliharaan.
2. Pilih sudut pandang referensi dari repositori arsitektur yang akan memungkinkan arsitek untuk menunjukkan bagaimana kekhawatiran pemangku kepentingan sedang
dibahas dalam arsitektur.
3. Untuk setiap sudut pandang, pilih model yang diperlukan untuk mendukung tampilan spesifik yang diperlukan, menggunakan alat atau metode yang dipilih dan level yang sesuai
dekomposisi.
4. Kembangkan deskripsi domain arsitektur dasar, menggunakan cakupan dan tingkat detail yang diperlukan untuk mendukung arsitektur target dan, sejauh
mungkin, mengidentifikasi blok bangunan arsitektur yang relevan dari repositori arsitektur.
5. Mempertahankan model arsitektur proses sebagai bagian dari deskripsi domain dasar dan target. Standarisasi deskripsi dan dokumentasi dari
proses. Tentukan peran dan tanggung jawab pembuat keputusan proses, pemilik proses, pengguna proses, tim proses, dan pemangku kepentingan proses lainnya yang harus terlibat.
-MELENGKAPI MODEL ARSITEKTUR INFORMASI BAGIAN DASAR DAN TARGET DOMAIN DESKRIPSI KONSISTEN DUA STRATEGI ENTERPRISE DAPAT DIAKTIFKAN
penggunaan informasi yang optimal untuk pengambilan keputusan. Memelihara kamus data perusahaan yang mempromosikan pemahaman umum dan skema klasifikasi yang mencakup
detail tentang kepemilikan data, definisi tingkat keamanan yang sesuai, dan persyaratan penyimpanan dan penghancuran data.
#ONDUCTAFORMALSTAKEHOLDERREVIEWBYCHECKINGTHEPROPOSEDARCHITECTURELAGAINSTHEORIGINALMOTIVATIONFORTHEARCHITECTUREPROJECTANDTHE
pernyataan karya arsitektur.
9. Menyelesaikan arsitektur domain bisnis, informasi, data, aplikasi dan teknologi, dan membuat dokumen definisi arsitektur.
PAKET KERJA )PENTINGKANPROYEK DENGAN TERKAIT Di luar COBIT s%NTERPRISSTRATEGIES Arsitektur transisi APO02.05
Program investasi berbasis TI untuk memastikan bahwa prakarsa s%NTERPRISEDRIVERS
arsitektur diselaraskan dengan dan memungkinkan prakarsa ini
sebagai bagian dari perubahan perusahaan secara keseluruhan.
Jadikan ini sebagai upaya kolaboratif dengan pemangku
kepentingan utama perusahaan dari bisnis dan TI untuk menilai
KESIAPAN STRANSFORMASI ENTERPRISE DAN
mengidentifikasi peluang, solusi dan semua
kendala implementasi.
Kegiatan
2. Identifikasi setiap penggerak perusahaan yang akan membatasi urutan implementasi, termasuk tinjauan rencana strategis dan bisnis perusahaan dan lini bisnis, dan pertimbangan
kematangan arsitektur perusahaan saat ini.
3. Meninjau dan mengkonsolidasikan hasil analisis kesenjangan antara arsitektur dasar dan target dan menilai implikasinya sehubungan dengan potensi
PELUANG SOLUSI INTERDEPENDENCIESANDALIGNMENTWITHCURRENT)4 PROGRAM YANG DIAKTIFKAN
4. Menilai persyaratan, kesenjangan, solusi dan faktor untuk mengidentifikasi satu set minimal persyaratan fungsional yang terintegrasi ke dalam paket kerja
akan mengarah pada implementasi arsitektur target yang lebih efisien dan efektif.
6. Perbaiki dependensi awal, pastikan bahwa setiap kendala pada implementasi dan rencana migrasi diidentifikasi, dan konsolidasikan ke dalam a
laporan analisis ketergantungan.
#ONFIRMTHEENTERPRISE SREADINESSFORANDTHERISKASSOCIATEDWITHENTERPRISETRANSFORMATION
8. Merumuskan implementasi tingkat tinggi dan strategi migrasi yang akan memandu implementasi arsitektur target dan struktur transisi
ARSITEKTUR SINALIGNMENTDENGANPRISESTRATEGI ENTERPRISEGICOBJECTIVESANDTIMES
10. Kembangkan serangkaian arsitektur transisi seperlunya di mana ruang lingkup perubahan yang diperlukan untuk mewujudkan arsitektur target memerlukan sebuah
pendekatan inkremental.
Kegiatan
2. Konfirmasikan peningkatan dan fase arsitektur transisi dan perbarui dokumen definisi arsitektur.
Kegiatan
1. Konfirmasikan cakupan dan prioritas dan berikan panduan untuk pengembangan dan penerapan solusi.
-ANAGETHEPORTFOLIOOFENTERPRISEARCHITECTURELAYANANSTOENSUREALIGNMENTDENGANSTRATEGICOBJEKTIFDANSOLUSI PENGEMBANGAN
3. Mengelola persyaratan dan dukungan arsitektur perusahaan dengan prinsip arsitektur, model, dan blok bangunan.
4. Mengidentifikasi dan menyelaraskan prioritas arsitektur perusahaan dengan penggerak nilai. Tentukan dan kumpulkan metrik nilai dan ukur serta komunikasikan perusahaan
nilai arsitektur.
%STABLISHATECHNOLOGYFORUMTOPROVIDEARCHITECTURALGUIDELINESAATASIHONPROYEKSANDGUIDANCEONTHESELECTIONOFTECHNOLOGY -EASURECOMPLIANCE
dengan standar dan pedoman ini, termasuk kepatuhan terhadap persyaratan eksternal dan relevansi bisnisnya.
TOGAF 9 Inti dari TOGAF adalah Architecture Development Method (ADM), yang memetakan praktik COBIT 5 dalam mengembangkan visi
arsitektur (ADM Phase A), mendefinisikan arsitektur referensi (ADM Phases B,C,D), memilih peluang dan solusi ( ADM Fase E),
dan mendefinisikan implementasi arsitektur (ADM Fase F, G). Sejumlah komponen TOGAF dipetakan ke praktik COBIT 5 dalam
menyediakan layanan arsitektur perusahaan. Ini termasuk Manajemen Persyaratan ADM, Prinsip Arsitektur, Manajemen
Pemangku Kepentingan, Penilaian Kesiapan Transformasi Bisnis, Manajemen Risiko, Perencanaan Berbasis Kemampuan,
Kepatuhan Arsitektur, dan Kontrak Arsitektur.
: MENGAKTIFKAN PROSES
Area: Manajemen
APO04 Manage Innovation Domain: Sejajarkan, Rencanakan, dan Atur
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASIWENEFITREALISATIONDIMONITORING melalui
atau melebihi
08 Penggunaan aplikasi, informasi dan solusi teknologi yang memadai s0ERCENTOFBUSINESSPROCESSOWNERSPUAS DENGAN PENDUKUNG)4PRODUK
dan layanan
TERKAIT
s.UMBEROFAPPROVEDINIATIVESHASILFROMINNOVATIVE)4IDEAS
1. Nilai perusahaan diciptakan melalui kualifikasi dan pementasan kemajuan dan inovasi s)MENINGKATKANPANGSA
yang paling tepat dalam teknologi, metode dan solusi TI. PASARORKOMPETITIFDUETOINNOVATIONS%NTERPRISESTAKEHOLDERPERSEPSIDAN UMPAN BALIK)4INNOVAS
3. Inovasi dipromosikan dan diaktifkan dan merupakan bagian dari budaya s)NCLUSIONOFINNOVATIONOREMERGINGTECHNOLOGY RELATEDOBJEKTIFSIN
perusahaan. tujuan kinerja untuk staf yang relevan s3TAKEHOLDERFEEDBACKANDSURVEYS
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO04.02
Mempertahankan pemahaman ARRC RRRR
tentang lingkungan perusahaan.
Rencanakan,
Sejajarkan,
Atur
dan
APO04.03
Memantau dan ARRRR
memindai lingkungan teknologi.
APO04.04
Menilai potensi teknologi ARRRR
Saya saya CCC C
yang muncul dan ide-ide
inovasi.
APO04.05
Merekomendasikan inisiatif saya RRA C RRRR RR
lebih lanjut yang sesuai.
APO04.06
Memantau implementasi dan kira-kira C RCCC CC
penggunaan inovasi.
Kegiatan
#REATEANINNOVATIONPLANTHATINCLUDESRISKAPPETITETHEENVISIONEDBUDGETTOSPENDONINNOVATIONINITIATIVESANDINNOVATIONOBJECTIVES
2. Menyediakan infrastruktur yang dapat menjadi enabler untuk inovasi, seperti alat kolaborasi untuk meningkatkan pekerjaan antara lokasi geografis dan divisi.
3. Menciptakan lingkungan yang kondusif untuk inovasi dengan mempertahankan inisiatif SDM yang relevan, seperti program pengakuan dan penghargaan inovasi,
PEKERJAAN DAN WAKTU KEBIJAKSANAAN UNTUK EKSPERIMENTASI YANG TEPAT
4. Mempertahankan program yang memungkinkan staf untuk mengirimkan ide-ide inovasi dan menciptakan struktur pengambilan keputusan yang tepat untuk dinilai dan diambil
ide-ide ini ke depan.
Kegiatan
1. Pertahankan pemahaman tentang penggerak bisnis, strategi perusahaan, penggerak industri, operasi perusahaan, dan masalah lainnya sehingga potensi
nilai tambah teknologi atau inovasi TI dapat diidentifikasi.
3. Memahami parameter investasi perusahaan untuk inovasi dan teknologi baru sehingga strategi yang tepat dikembangkan.
Kegiatan
0ERFORMRISET PENELITIANPENCARIANLENGKAP LUAR LINGKUNGANTERMASUK SITUS WEB YANG SESUAIJUMLAH DAN KONFERENSISTOIDENTIFIKASI
teknologi yang sedang berkembang.
3. Berkonsultasi dengan pakar pihak ketiga jika diperlukan untuk mengonfirmasi temuan penelitian atau sebagai sumber informasi tentang teknologi yang sedang berkembang.
#APTURESTAFFMEMBERS )4INNOVATIONIDEASANDANALYSETHEMFORPOTENTIALIMPLEMENTATION
APO04.04 Menilai potensi teknologi yang muncul dan Dari Keterangan Keterangan Ke
ide-ide inovasi.
Evaluasi ide BAI03.01
!NALYSEIDENTIFIEDEMERGINGTECHNOLOGIESDAN LAINNYA
inovasi
saran inovasi TI. Bekerja dengan pemangku kepentingan
untuk memvalidasi asumsi tentang potensi teknologi dan Ruang lingkup bukti konsep APO05.03
inovasi baru. dan garis besar kasus bisnis APO06.02
Kegiatan
1. Mengevaluasi teknologi yang teridentifikasi, dengan mempertimbangkan aspek-aspek seperti waktu untuk mencapai kedewasaan, risiko yang melekat pada teknologi baru (termasuk potensi hukum
implikasi), sesuai dengan arsitektur perusahaan, dan berpotensi memberikan nilai tambah.
2. Identifikasi masalah apa pun yang mungkin perlu diselesaikan atau dibuktikan melalui inisiatif pembuktian konsep.
3. Lingkup inisiatif proof-of-concept, termasuk hasil yang diinginkan, anggaran yang dibutuhkan, kerangka waktu dan tanggung jawab.
5. Melakukan inisiatif pembuktian konsep untuk menguji teknologi yang muncul atau ide inovasi lainnya, mengidentifikasi masalah apa pun, dan menentukan apakah lebih lanjut
implementasi atau peluncuran harus dipertimbangkan berdasarkan kelayakan dan potensi ROI.
: MENGAKTIFKAN PROSES
Kegiatan
1. Dokumentasikan hasil proof-of-concept, termasuk panduan dan rekomendasi untuk tren dan program inovasi.
2. Mengkomunikasikan peluang inovasi yang layak ke dalam strategi TI dan proses arsitektur perusahaan.
3. Menindaklanjuti inisiatif proof-of-concept untuk mengukur sejauh mana mereka telah dimanfaatkan dalam investasi aktual.
!NALYSEANDCOMMUNICATEREASONFOREJECTEDBUKTI KONSEPSITIF
Kegiatan
1. Menilai penerapan teknologi baru atau inovasi TI yang diadopsi sebagai bagian dari strategi TI dan pengembangan arsitektur perusahaan dan
realisasi selama pengelolaan program inisiatif.
!DIBUTUHKAN DJUSTTHEINNOVATIONPLANIF
4. Mengidentifikasi dan mengevaluasi nilai potensial yang ingin diwujudkan dari penggunaan inovasi.
.SATU
Area: Manajemen
APO05 Kelola Portofolio Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Jalankan arahan strategis yang ditetapkan untuk investasi sejalan dengan visi arsitektur perusahaan dan karakteristik yang diinginkan dari investasi dan portofolio layanan terkait, dan
pertimbangkan berbagai kategori investasi dan sumber daya serta kendala pendanaan. Mengevaluasi, memprioritaskan DAN KESEIMBANGAN PROGRAM DAN LAYANAN MENGELOLA
PERMINTAAN DALAM SUMBER DAYA DAN KENDALA PENDANAAN BERDASARKAN ALIGNMENT MEREKA DENGAN TUJUAN STRATEGIS Nilai dan risiko perusahaan. Pindahkan
program yang dipilih ke dalam portofolio layanan aktif untuk dieksekusi. Memantau kinerja keseluruhan
PORTFOLIOOFSERVICESANDPROGRAMMESPROPOSINGADJUSTMENTASNECESSARYINRESPONSETOPROGRAMDSERVICEPERFORMANCEORCHANGING
prioritas perusahaan.
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASISEMANAMANFAATREALISASIDIMONITORASI
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, dan s.UMBEROFPROGRAMMES PROJECTSONTIMEANDWITHINBUDGET
memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUAS DENGAN PROGRAMKUALITAS PROYEK
s.UMBEROFPROGRAMMENETINGINGSIGNIFIKANKEKERJAAN DUETTOKUALITASCACAT
s#OSTOFAPPLICATIONMAINTENANCEVS KESELURUHAN)4BIAYA
1. Campuran investasi yang tepat ditentukan dan diselaraskan dengan s0ERCENTOF)4INVESTASI YANG MEMILIKI KEMAMPUAN PELACAKAN TERHADAP STRATEGI ENTERPRISE
3. Kasus bisnis program dievaluasi dan diprioritaskan sebelum dana s0ERCENTOFBUSINESSUNITSTERLIBAT DALAMEVALUASIDAN
dialokasikan. proses penentuan prioritas
4. Adanya pandangan yang komprehensif dan akurat tentang kinerja portofolio s,PERKEMBANGAN KEPUASAN TERHADAP LAPORAN PEMANTAUAN PORTOFOLIO
investasi.
5. Perubahan program investasi tercermin dalam portofolio layanan, aset, dan sumber daya TI s0ERCENTOFCCHESFROMTHEINCESTMENTPROGRAMMEREFLECTEDINHE
yang relevan. portofolio TI yang relevan
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO05.02
Menentukan ketersediaan dan MOBIL C R
sumber dana.
APO05.03
Rencanakan,
Sejajarkan,
Atur
dan
APO05.04
Memantau,
Saya CCCCCR A CCCC C
mengoptimalkan, dan
melaporkan kinerja portofolio investasi.
APO05.05
Saya Saya RCA R R CC C
Menjaga portofolio.
APO05.06
CCCAR IR Saya CCRC C
Mengelola pencapaian manfaat.
APO09.01 Definisi
layanan standar
Kegiatan
6ALIDASI BAHWA)4 AKTIFKAN INVESTASI DAN SAAT INI)4 LAYANAN SESUAI DENGAN VISI ENTERPRISEPRISEPRISEPLESSTRATEGIKOALSANDOBJEKTIFVisi
dan prioritas arsitektur perusahaan.
2. Memperoleh pemahaman yang sama antara TI dan fungsi bisnis lainnya tentang peluang potensial bagi TI untuk mendorong dan mendukung
strategi perusahaan.
3. Menciptakan bauran investasi yang mencapai keseimbangan yang tepat di antara sejumlah dimensi, termasuk keseimbangan yang tepat antara jangka pendek dan jangka panjang
pengembalian, keuntungan finansial dan non-finansial, dan investasi berisiko tinggi dan rendah.
4. Mengidentifikasi kategori luas sistem informasi, aplikasi, data, layanan TI, infrastruktur, aset TI, sumber daya, keterampilan, praktik, kontrol, dan
hubungan yang diperlukan untuk mendukung strategi perusahaan.
5. Menyetujui strategi dan tujuan TI, dengan mempertimbangkan hubungan timbal balik antara strategi perusahaan dan layanan TI, aset, dan lainnya
sumber daya. Mengidentifikasi dan memanfaatkan sinergi yang dapat dicapai.
Kegiatan
1. Memahami ketersediaan dan komitmen dana saat ini, pengeluaran yang disetujui saat ini, dan jumlah aktual yang dibelanjakan hingga saat ini.
2. Identifikasi opsi untuk memperoleh dana tambahan untuk investasi yang mendukung TI, secara internal dan dari sumber eksternal.
APO05.03 Mengevaluasi dan memilih program yang akan didanai. Dari Keterangan Keterangan Ke
Berdasarkan persyaratan bauran portofolio investasi
EDM02.01 s%VALUATIONOFINVESTMENT Program kasus bisnis APO06.02
secara keseluruhan, evaluasi dan prioritaskan kasus bisnis
dan portofolio layanan BAI01.02
program, dan putuskan proposal investasi.
s%VALUATIONOF
Mengalokasikan dana dan memulai program.
keselarasan strategis
APO06.03 s"UDGETKOMUNIKASI
s)4ANGGARAN DAN RENCANA
BAI01.02 s0ROGRAMMEMANFAAT
rencana realisasi
s0ROGRAMMEMANDATE
dan singkat
s0ROGRAMMECONCEPT
kasus bisnis
Kegiatan
1. Mengenali peluang investasi dan mengklasifikasikannya sesuai dengan kategori portofolio investasi. Tentukan hasil perusahaan yang diharapkan,
semua inisiatif yang diperlukan untuk mencapai hasil yang diharapkan, biaya, ketergantungan dan risiko, dan bagaimana semua akan diukur.
2. Melakukan penilaian rinci dari semua kasus bisnis program, mengevaluasi keselarasan strategis, manfaat perusahaan, risiko dan ketersediaan sumber daya.
3. Menilai dampak pada portofolio investasi keseluruhan dari penambahan program kandidat, termasuk perubahan apa pun yang mungkin diperlukan untuk
program lainnya.
6. Menetapkan prosedur untuk mengomunikasikan aspek biaya, manfaat, dan risiko yang terkait dari portofolio ini dengan prioritas anggaran, manajemen biaya, dan
proses manajemen manfaat.
: MENGAKTIFKAN PROSES
APO04.06 Evaluasi
manfaat inovasi
Kegiatan
1. Meninjau portofolio secara berkala untuk mengidentifikasi dan memanfaatkan sinergi, menghilangkan duplikasi antar program, serta mengidentifikasi dan memitigasi risiko.
2. Ketika terjadi perubahan, evaluasi kembali dan prioritaskan kembali portofolio untuk memastikan bahwa portofolio selaras dengan strategi bisnis dan bauran target investasi
tetap terjaga sehingga portofolio mengoptimalkan nilai secara keseluruhan. Ini mungkin memerlukan program untuk diubah, ditangguhkan atau dihentikan, dan program baru
dimulai.
4. Memberikan gambaran yang akurat tentang kinerja portofolio investasi kepada seluruh pemangku kepentingan.
0ROVIDELAPORAN MANAJEMENUNTUK TINJAUAN MANAJEMEN SENIOR PROGRES PERUSAHAANSSTOWARDSIDENTIFIKASI SASARANMENNYATAKAN YANG MASIH DIBUTUHKANSTOBE
dihabiskan dan dicapai selama apa kerangka waktu.
)MASUKKAN INFORMASI PEMANTAUAN KINERJA REGULERPENGENALAN TUJUAN YANG DIRENCANAKAN TELAH MENCAPAI RISIKO MITIGASI KEMAMPUAN
dibuat, kiriman diperoleh dan target kinerja terpenuhi.
s"ENEFITMANAGEMENTOF
n!TARGET CUALVSFOINVESTASIFORSOLUSIMUNGKIN DINYATAKAN INTERMSOF2/).06ORINTERNALRATEOFRETURN )22– Tren aktual
biaya portofolio layanan untuk peningkatan produktivitas penyampaian layanan
$EVELOPMETRICSFORMEASURING)4 SCONTRIBUTIONTOTHEENTERPRISEANDESTABLISHAPUPPERFORMANCEPERFORMANCETARGETSREFLECTINGTHEPERIRED)4AND
target kemampuan perusahaan. Gunakan panduan dari pakar eksternal dan data benchmark untuk mengembangkan metrik.
Kegiatan
1. Membuat dan memelihara portofolio program investasi yang mendukung TI, layanan TI, dan aset TI, yang menjadi dasar anggaran TI saat ini dan
mendukung rencana taktis dan strategis TI.
2. Bekerja dengan manajer pengiriman layanan untuk mempertahankan portofolio layanan dan dengan manajer operasi dan arsitek untuk mempertahankan portofolio aset.
Prioritaskan portofolio untuk mendukung keputusan investasi.
3. Hapus program dari portofolio investasi aktif ketika keuntungan perusahaan yang diinginkan telah tercapai atau ketika jelas keuntungannya
tidak akan tercapai dalam kriteria nilai yang ditetapkan untuk program.
Kegiatan
2. Menerapkan tindakan korektif ketika manfaat yang dicapai secara signifikan menyimpang dari manfaat yang diharapkan. Perbarui kasus bisnis untuk inisiatif baru dan terapkan proses
bisnis dan peningkatan layanan sesuai kebutuhan.
3. Pertimbangkan untuk mendapatkan panduan dari pakar eksternal, pemimpin industri, dan data pembandingan komparatif untuk menguji dan meningkatkan metrik dan target.
)3/ )%# s
-TANGGUNG JAWAB MANAJEMEN
s
0LANNINGANDIMPLEMENTINGSERVICEMANAGEMENT
s
0LANNINGDAN MELAKSANAKAN LAYANAN PERUBAHAN BARU
: MENGAKTIFKAN PROSES
Area: Manajemen
APO06 Kelola Anggaran dan Biaya Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Mengelola aktivitas keuangan terkait TI dalam fungsi bisnis dan TI, yang mencakup anggaran, manajemen biaya dan manfaat, dan memprioritaskan pengeluaran
melalui penggunaan praktik penganggaran formal dan sistem alokasi biaya yang adil dan merata untuk perusahaan. Konsultasikan dengan pemangku kepentingan
untuk mengidentifikasi dan mengendalikan total biaya dan manfaat dalam konteks rencana strategis dan taktis TI, dan memulai tindakan korektif jika diperlukan.
Rencanakan
Sejajarkan,
Atur
dan Proses tersebut mendukung pencapaian serangkaian tujuan utama terkait TI:
Tujuan terkait TI
06 Transparansi biaya, manfaat dan risiko TI s0ERCENTOINVESTMENTKASUS USAHADITENTUKAN DENGAN JELAS DAN DISETUJUI
biaya dan manfaat terkait TI yang diharapkan
s0ERCENTOF)4LAYANANDITENTUKAN DENGAN JELAS DAN DISETUJUI OPERASIONAL
biaya dan manfaat yang diharapkan
s3SURVEI KEPUASAN KUNCI PEMEGANG PEMANGKU KEPENTINGAN TENTANG ELEVELOF
1. Anggaran yang transparan dan lengkap untuk TI secara akurat mencerminkan s.UMBEROFBUDGETCHANGESDUETOOMISSIONSANDERRORS
pengeluaran yang direncanakan. s.UMBERSOFDEVIATIONDIANTARAKATEGORI-KATEGORI ANGGARAN YANG DIHARAPKAN DAN SEBENARNYA
2. Alokasi sumber daya TI untuk inisiatif TI diprioritaskan berdasarkan s0ERCENTOFALIGNMENTOF)4SUMBERDAYA DENGAN PRIORITAS TINGGI
kebutuhan perusahaan. s.UMBEROFRESOURCEALLOCATIONISSUESESCALATE
4. Anggaran dapat secara akurat dibandingkan dengan biaya yang sebenarnya. s0ERCENTOFVARIANCEAANTARASTBUDGETSPRECASTSANDAKTUALBIAYA
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO06.02
IR CCC I CC I AI CCRCC
Prioritaskan alokasi sumber daya.
APO06.03
ITU CCCCCC RCCCRCCC
Membuat dan memelihara anggaran.
APO06.04
C CCCCCC ACCCRCC
Model dan alokasi biaya.
APO06.05
R CCCCCC ACCCRCC
Mengelola biaya.
: MENGAKTIFKAN PROSES
Kegiatan
1. Tetapkan proses, input dan output, dan tanggung jawab yang selaras dengan kebijakan dan pendekatan penganggaran dan akuntansi biaya perusahaan untuk
secara sistematis mendorong penganggaran dan penetapan biaya TI; memungkinkan estimasi biaya dan manfaat TI yang adil, transparan, dapat diulang, dan sebanding untuk
masukan ke portofolio program bisnis yang mendukung TI; dan memastikan bahwa anggaran dan biaya dipertahankan dalam portofolio aset dan layanan TI.
2. Tentukan skema klasifikasi untuk mengidentifikasi semua elemen biaya terkait TI, bagaimana mereka dialokasikan di seluruh anggaran dan layanan, dan bagaimana mereka ditangkap.
3. Gunakan informasi keuangan dan portofolio untuk memberikan masukan pada kasus bisnis untuk investasi baru dalam aset dan layanan TI.
4. Menentukan cara menganalisis, melaporkan (kepada siapa dan bagaimana), dan menggunakan proses pengendalian anggaran dan manajemen manfaat.
5. Menetapkan dan memelihara praktik untuk perencanaan keuangan, manajemen investasi dan pengambilan keputusan, dan optimalisasi biaya operasional berulang untuk memberikan
nilai maksimum kepada perusahaan dengan pengeluaran paling sedikit.
APO05.02 Ekspektasi
pengembalian investasi
APO05.03 s"USINESSCASE
penilaian
s0ROGRAMMEBUSINESS
kasus
Kegiatan
1. Membentuk badan pembuat keputusan untuk memprioritaskan bisnis dan sumber daya TI, termasuk penggunaan penyedia layanan eksternal dalam alokasi anggaran tingkat tinggi
untuk program yang mendukung TI, layanan TI, dan aset TI sebagaimana ditetapkan oleh rencana strategis dan taktis. Pertimbangkan opsi untuk membeli atau mengembangkan aset
dan layanan yang dikapitalisasi vs. aset dan layanan yang digunakan secara eksternal berdasarkan pembayaran untuk penggunaan.
2. Beri peringkat semua inisiatif TI berdasarkan kasus bisnis dan rencana strategis dan taktis, dan tetapkan prosedur untuk menentukan alokasi anggaran dan cut-off.
Menetapkan prosedur untuk mengomunikasikan keputusan anggaran dan meninjaunya dengan pemegang anggaran unit bisnis.
3. Mengidentifikasi, mengomunikasikan, dan menyelesaikan dampak signifikan dari keputusan anggaran pada kasus bisnis, portofolio, dan rencana strategi (misalnya, ketika anggaran
mungkin MEMBUTUHKAN REVISI DUETOCHANGINGENTERPRISECIRCUSTANCEKAPANCUKUPMENDUKUNGSTRATEGICOBJECTIVESORBUSINESSCASETUJUAN/
Kegiatan
1. Menerapkan anggaran TI formal, termasuk semua biaya TI yang diharapkan dari program yang mendukung TI, layanan TI, dan aset TI seperti yang diarahkan oleh strategi,
program dan portofolio.
TERATUR )NSTRUCTPROCESSSERVICEANDPROGRAMMEOWNERSASWELLASPROJECTANDASSETMANAGERSTOPLANBUDGETS
2EVIEWTHEBUDGETPLANSANDMAKEDECISIONSABOUTBUDGETALLOCATIONS#OMPILEANDBASEDTHSENEDEEANDADJUS
pertimbangan keuangan.
7. Memantau efektivitas berbagai aspek penganggaran dan menggunakan hasilnya untuk melaksanakan perbaikan guna memastikan bahwa anggaran di masa mendatang lebih akurat, andal,
dan hemat biaya.
Kegiatan
1. Mengkategorikan semua biaya TI dengan tepat, termasuk yang berkaitan dengan penyedia layanan, menurut manajemen perusahaan
kerangka akuntansi.
)KATALOGKATALOGKATALOGKATALOGKENENTIFIKASILAYANANSUBJECTTOUSERCHARGEBACKANDTHOSETTHARESHAREDSERVICES
4. Rancang model biaya agar cukup transparan untuk memungkinkan pengguna mengidentifikasi penggunaan dan biaya aktual mereka, dan untuk lebih memungkinkan prediktabilitas TI
biaya dan pemanfaatan sumber daya TI yang efisien dan efektif.
5. Setelah ditinjau dengan departemen pengguna, dapatkan persetujuan dan komunikasikan input dan output model penetapan biaya TI kepada manajemen
departemen pengguna.
#OMMUNICATECHANGESINTHECOST CHARGEBACKMODELWITHENTERPRISEPROCESSOWNERS
: MENGAKTIFKAN PROSES
Kegiatan
1. Pastikan otoritas dan independensi yang tepat antara pemegang anggaran TI dan individu yang menangkap, menganalisis, dan melaporkan informasi keuangan.
2. Menetapkan skala waktu untuk pengoperasian proses manajemen biaya sesuai dengan penganggaran dan persyaratan akuntansi.
3. Tentukan metode pengumpulan data yang relevan untuk mengidentifikasi penyimpangan untuk:
s"KONTROL UDGET ANTARA SEBENARNYA DAN ANGGARAN
s"ENEFITMANAGEMENTOF n!
CUALVS TARGETSFORINVESTASIFORSOLUSI MUNGKIN DINYATAKANINTERMSOF2/).06OR)22
– Tren aktual biaya layanan untuk optimalisasi biaya layanan (misalnya, didefinisikan sebagai biaya per pengguna)
– Aktual vs. anggaran untuk peningkatan respons dan prediktabilitas penyampaian solusi
s#OSTDISTRIBUTIONANTARA BIAYA ENDIRECTANDINDIRECTDANDUNABSERBED
4. Tentukan bagaimana biaya dikonsolidasikan untuk tingkat yang sesuai dalam perusahaan dan bagaimana mereka akan disajikan kepada para pemangku kepentingan. Laporan memberikan
informasi untuk memungkinkan identifikasi tepat waktu dari tindakan korektif yang diperlukan.
5. Instruksikan mereka yang bertanggung jawab atas manajemen biaya untuk menangkap, mengumpulkan dan mengkonsolidasikan data, dan menyajikan dan melaporkan data ke pihak yang sesuai.
ANGGARAN PEMILIK "UDGETANALYSTSANDOWNERSBERSAMA ANALISISDEVIASIDANPERBANDINGANKINERJATOINTERNALANDINDUSTRIPENTINGAN 4HERESULTOF
analisis memberikan penjelasan tentang penyimpangan yang signifikan dan tindakan korektif yang disarankan.
6. Pastikan bahwa tingkat manajemen yang tepat meninjau hasil analisis dan menyetujui tindakan korektif yang disarankan.
7. Menyelaraskan anggaran dan layanan TI dengan infrastruktur TI, proses perusahaan, dan pemilik yang menggunakannya.
8. Pastikan bahwa perubahan dalam struktur biaya dan kebutuhan perusahaan telah diidentifikasi dan anggaran dan prakiraan direvisi sesuai kebutuhan.
9. Secara berkala, dan terutama ketika anggaran dipotong karena kendala keuangan, identifikasi cara untuk mengoptimalkan biaya dan memperkenalkan efisiensi
TANPA LAYANAN JEOPARDISING
Area: Manajemen
APO07 Kelola Sumber Daya Manusia Domain: Sejajarkan, Rencanakan, dan Atur
TERKAIT
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai Bumbuan -programmes proyek -proyek yang dapat diubah dengan
anggaran, dan memenuhi persyaratan dan standar kualitas proyek -proyek yang diprogram dengan programmme. Bumbau -bumbu.
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO07.02
R R ARRRRRR
Identifikasi personel kunci TI.
APO07.03
Rencanakan,
Sejajarkan,
Atur
dan
APO07.06
R R ARRRRRR
Mengelola staf kontrak.
%VALUATESTAFFINGPERSYARATANSONAREGULERBASISORUPONMAJORCHINGSTOPASTIKAN
BAHWA s)4FUNGSI MEMILIKI SUMBER YANG CUKUP DAN TEPAT MENDUKUNG ENTERPRISEGOALSANDOBJEKTIF
s%NTERPRISETELAH CUKUP SUMBER DAYACUKUP DAN TEPAT MENDUKUNGPROSES BISNISDAN KONTROL DAN)4 AKTIFKAN DINITIATIF
3. Menyertakan pemeriksaan latar belakang dalam proses rekrutmen TI untuk karyawan, kontraktor, dan vendor. Luas dan frekuensi pemeriksaan ini harus
KETERGANTUNGAN SENSITIVITAS DAN ORKRITISITAS FUNGSI
4. Menetapkan pengaturan sumber daya yang fleksibel untuk mendukung perubahan kebutuhan bisnis, seperti penggunaan transfer, kontraktor eksternal, dan pihak ketiga
pengaturan layanan.
5. Pastikan bahwa pelatihan silang berlangsung dan ada cadangan untuk staf kunci untuk mengurangi ketergantungan satu orang.
Kegiatan
2. Sebagai tindakan pencegahan keamanan, berikan pedoman tentang waktu minimum liburan tahunan yang harus diambil oleh individu-individu kunci.
program kualifikasi dan sertifikasi jika sesuai. Memberi karyawan pengelolaan sumber daya
pembelajaran berkelanjutan dan peluang untuk mempertahankan
BAI08.03 Repositori pengetahuan Tinjau laporan Intern
pengetahuan, keterampilan, dan kompetensi mereka pada tingkat yang
yang diterbitkan
diperlukan untuk mencapai tujuan perusahaan.
BAI08.04 Kesadaran pengetahuan dan
skema pelatihan
DSS04.06 s-ONITORINGHASILSOF
keterampilan dan kompetensi
PERSYARATAN s4RAINING
Kegiatan
1. Menentukan keterampilan dan kompetensi yang dibutuhkan dan tersedia saat ini dari sumber daya internal dan eksternal untuk mencapai tujuan perusahaan, TI, dan proses.
2. Menyediakan perencanaan karir formal dan pengembangan profesional untuk mendorong pengembangan kompetensi, kesempatan untuk kemajuan pribadi dan
mengurangi ketergantungan pada individu kunci.
3. Menyediakan akses ke gudang pengetahuan untuk mendukung pengembangan keterampilan dan kompetensi.
4. Identifikasi kesenjangan antara keterampilan yang dibutuhkan dan yang tersedia dan kembangkan rencana aksi untuk mengatasinya secara individu dan kolektif, seperti pelatihan (keterampilan
teknis dan perilaku), rekrutmen, penempatan kembali, dan strategi sumber yang diubah.
5. Mengembangkan dan menyampaikan program pelatihan berdasarkan persyaratan organisasi dan proses, termasuk persyaratan untuk pengetahuan perusahaan, pengendalian internal,
perilaku etis, dan keamanan.
6. Melakukan review secara berkala untuk menilai evolusi keterampilan dan kompetensi sumber daya internal dan eksternal. Tinjau perencanaan suksesi.
7. Meninjau materi dan program pelatihan secara teratur untuk memastikan kecukupan sehubungan dengan perubahan persyaratan perusahaan dan dampaknya
pada pengetahuan, keterampilan dan kemampuan yang diperlukan.
: MENGAKTIFKAN PROSES
Kegiatan
#ONSIDERFUNCTIONAL ENTERPRISEGOALSASTHECONTEXTFORSETTINGINDIVIDUALGOALS
2. Tetapkan tujuan individu yang selaras dengan tujuan proses yang relevan sehingga ada kontribusi yang jelas untuk tujuan TI dan perusahaan. Dasarkan sasaran pada OBJECTIVES
CERDAS KHUSUS TERUKURDAPAT DICAPAIRELEVANTDAN TERIKAT WAKTUREFLEKTIKOREKOMPETENSIENTERPRISEVALUEDANSKILLSDIPERLUKAN
untuk peran.
5. Memberikan instruksi khusus untuk penggunaan dan penyimpanan informasi pribadi dalam proses evaluasi, sesuai dengan data pribadi yang berlaku
dan undang-undang ketenagakerjaan.
8. Mengembangkan rencana peningkatan kinerja berdasarkan hasil proses evaluasi dan mengidentifikasi persyaratan pelatihan dan pengembangan keterampilan.
BAI01.12 0ROJECTRESOURCE
persyaratan
Kegiatan
1. Membuat dan memelihara inventaris sumber daya manusia bisnis dan TI.
5PEMILIH SAAT INI DAN MASA DEPAN PERMINTAAN SUMBER DAYA MANUSIA DUKUNGAN PRESTASI)4 TUJUAN SANDI LAYANAN LAYANAN DAN SOLUSI
berdasarkan portofolio inisiatif terkait TI saat ini, portofolio investasi masa depan, dan kebutuhan operasional sehari-hari.
3. Mengidentifikasi kekurangan dan memberikan masukan ke dalam rencana pengadaan serta proses perekrutan perusahaan dan TI. Membuat dan meninjau rencana kepegawaian,
melacak penggunaan yang sebenarnya.
-PERHATIKAN INFORMASI YANG MEMADAI WAKTU DIGUNAKAN PADA BERBEDA TUGAS TUGAS LAYANANOR PROYEK
Kegiatan
) MELAKSANAKAN KEBIJAKAN DAN PROSEDUR YANG MENJELASKAN BAGAIMANA JENIS PEKERJAAN YANG DAPAT DILAKUKANOR DIPERBAIKI OLEH KONSULTAN DAN ATAU
KONTRAKTORSINSESUATU DENGAN SENTERPRISE ORGANISASI SELURUH )4 KEBIJAKAN PENGADAANDAN )4 KERANGKA KONTROL /
BTAINFORMALAPERJANJIAN DARI KONTRAKTORSATPEMULAINYA KONTRAK YANG DIBUTUHKAN UNTUK MEMATUHI ENTERPRISE S )4CONTROL
kerangka kerja, seperti kebijakan untuk izin keamanan, kontrol akses fisik dan logis, penggunaan fasilitas, persyaratan kerahasiaan informasi, dan perjanjian kerahasiaan.
3. Memberi tahu kontraktor bahwa manajemen berhak untuk memantau dan memeriksa semua penggunaan sumber daya TI, termasuk email, komunikasi suara, dan
semua program dan file data.
4. Memberikan definisi yang jelas kepada kontraktor tentang peran dan tanggung jawab mereka sebagai bagian dari kontrak mereka, termasuk persyaratan eksplisit untuk mendokumentasikan
bekerja dengan standar dan format yang disepakati.
6. Tentukan semua pekerjaan yang dilakukan oleh pihak eksternal dalam kontrak formal dan tidak ambigu.
7. Melakukan tinjauan berkala untuk memastikan bahwa staf kontrak telah menandatangani dan menyetujui semua perjanjian yang diperlukan.
: MENGAKTIFKAN PROSES
Area: Manajemen
APO08 Kelola Hubungan Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Kelola hubungan antara bisnis dan TI dengan cara yang formal dan transparan yang memastikan fokus pada pencapaian tujuan bersama dan bersama dari hasil perusahaan yang sukses dalam
mendukung tujuan strategis dan dalam batasan anggaran dan toleransi risiko. Mendasarkan hubungan pada rasa saling percaya, menggunakan istilah yang terbuka dan dapat dimengerti serta
bahasa yang sama dan kesediaan untuk mengambil kepemilikan dan akuntabilitas atas keputusan-keputusan penting.
KEPUASAN PEMEGANG PEMANGKU KEPENTINGAN TERHADAP FOLIOF RUANG LINGKUP YANG DIRENCANAKAN
12 Pemberdayaan dan dukungan proses bisnis dengan mengintegrasikan aplikasi s.UMBEROFBUSINESSPROCESSINGINSIDENTSDISEBUT BYTECHNOLOGY
dan teknologi ke dalam proses bisnis kesalahan integrasi
s.UMBEROFBUSINESSPROCESSCHANGESTHATNEEDTOBEDELAYEDOR
dikerjakan ulang karena masalah integrasi teknologi
s.UMBEROF)4 AKTIFKANPROGRAM BISNISDELAYEDORINCURRING
biaya tambahan karena masalah integrasi teknologi
s.UMBEROFAPLIKASIORKRITISALINFRASTRUKTUROPERASIINSILOSAND
tidak terintegrasi
s.UMBEROFAPPROVEDINIATIVESHASILFROMINNOVATIVE)4IDEAS
1. Strategi, rencana, dan persyaratan bisnis dipahami dengan baik, didokumentasikan, s0ERCENTOFALIGNMENTOF)4LAYANANWITHENTERPRISE
dan disetujui. persyaratan bisnis
2. Hubungan yang baik terjalin antara perusahaan dan TI. s2ATINGSOFUSERAND)4PERSONELSURVEI KEPUASAN
3. Pemangku kepentingan bisnis menyadari peluang yang dimungkinkan oleh teknologi. s3URVEYOFBUSINESSSTAKEHOLDERTECHNOLOGYLEVELOFAWARENESS
s)RASIO KELULUSANPeluangPeluang dalam INVESTASI PROPOSAL
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO08.03
Mengelola hubungan CCCRR Saya A RR R
bisnis.
APO08.04
RI RRR I A RR R
Berkoordinasi dan berkomunikasi.
APO08.05
1. Identifikasi pemangku kepentingan bisnis, kepentingan mereka dan bidang tanggung jawab mereka.
2EVIEWCURRENTENTERPRISEDIRECTIONISUSTRATEGIKOBJEKTIFSANDALIGNMENTDENTERPRISEARCHITECTURE
3. Menjaga kesadaran akan proses bisnis dan aktivitas terkait serta memahami pola permintaan yang terkait dengan volume dan penggunaan layanan.
4. Memperjelas ekspektasi bisnis untuk layanan dan solusi yang mendukung TI dan memastikan bahwa persyaratan ditentukan dengan penerimaan bisnis terkait
kriteria dan metrik.
5. Konfirmasi persetujuan ekspektasi bisnis, kriteria penerimaan, dan metrik ke bagian TI yang relevan oleh semua pemangku kepentingan.
6. Kelola ekspektasi dengan memastikan bahwa unit bisnis memahami prioritas, ketergantungan, kendala keuangan, dan kebutuhan untuk menjadwalkan permintaan.
APO08.02 Identifikasi peluang, risiko, dan kendala TI untuk Dari Keterangan Keterangan Ke
meningkatkan bisnis.
APO09.01 Kesenjangan yang Langkah dan rencana aksi selanjutnya Intern
Identifikasi peluang potensial bagi TI untuk menjadi pendorong
teridentifikasi dalam layanan TI untuk bisnisyang disepakati
peningkatan kinerja perusahaan.
APO09.04 s)MPROVEMENTAKSI
rencana dan perbaikan
s3ERVICELEVEL
laporan kinerja
Kegiatan
1. Memahami tren teknologi dan teknologi baru dan bagaimana ini dapat diterapkan secara inovatif untuk meningkatkan kinerja proses bisnis.
2. Berperan proaktif dalam mengidentifikasi dan berkomunikasi dengan pemangku kepentingan utama tentang peluang, risiko, dan kendala. Ini termasuk saat ini dan yang muncul
teknologi, layanan dan model proses bisnis.
#OLLABORATEINAGREEINGONNEXTLANGKAHFORMAJORNEWINITIATIVEOPERASISINCODENGANPORTFOLIOMANAGEMENTTERMASUKBUSINESSCASEDEVELOPMENT
%NSURETHEBUSINESSDAND)4PAHAMIDANDAPRECIATETHESTRATEGICOBJECTIVESANDENTERPRISEARCHITECTUREVISI
5. Berkoordinasi saat merencanakan inisiatif TI baru untuk memastikan integrasi dan keselarasan dengan arsitektur perusahaan.
DSS02.07 s2EQUESTFULFILMENTSTATUS
dan laporan tren
s)NCIDENTSTATUSAND
laporan tren
Kegiatan
1. Tetapkan seorang manajer hubungan sebagai satu titik kontak untuk setiap unit bisnis yang signifikan. Pastikan bahwa rekanan tunggal diidentifikasi dalam organisasi bisnis dan
rekanan tersebut memiliki pemahaman bisnis, kesadaran teknologi yang memadai, dan tingkat otoritas yang sesuai.
2. Kelola hubungan dengan cara yang formal dan transparan yang memastikan fokus pada pencapaian tujuan bersama dan bersama dari perusahaan yang sukses
hasil dalam mendukung tujuan strategis dan dalam batasan anggaran dan toleransi risiko.
3. Tetapkan dan komunikasikan prosedur keluhan dan eskalasi untuk menyelesaikan masalah hubungan apa pun.
0LANSPECIFICINTERAKSIDAN JADWAL BERDASARKAN SAMA SETUJU TUJUAN DAN LAYANAN BAHASA UMUM DAN KINERJATINJAUAN RAPAT Tinjauan strategi atau
rencana baru, dll).
5. Memastikan bahwa keputusan kunci disetujui dan disetujui oleh pemangku kepentingan terkait yang bertanggung jawab.
: MENGAKTIFKAN PROSES
DSS03.04 Komunikasi
pengetahuan yang dipelajari
Kegiatan
#O ORDINASI DAN KOMUNIKASI PERUBAHAN DAN KEGIATAN TRANSISI SEPERTI PERUBAHAN PROYEKTOR JADWAL RELEASE KEBIJAKAN RELEASEKNOWNERRORSdan
kesadaran pelatihan.
4. Memelihara rencana komunikasi ujung ke ujung yang mendefinisikan konten, frekuensi, dan penerima informasi penyampaian layanan, termasuk status
nilai yang disampaikan dan setiap risiko yang teridentifikasi.
Kegiatan
1. Melakukan analisis kepuasan pelanggan dan penyedia. Pastikan bahwa masalah ditindaklanjuti dan laporkan hasil dan status.
3. Bekerja dengan manajemen layanan dan pemilik proses untuk memastikan bahwa layanan yang mendukung TI dan proses manajemen layanan terus ditingkatkan
dan akar penyebab dari setiap masalah diidentifikasi dan diselesaikan.
Area: Manajemen
APO09 Kelola Perjanjian Layanan Domain: Sejajarkan, Rencanakan, dan Atur
Deskripsi proses
Menyelaraskan layanan dan tingkat layanan yang mendukung TI dengan kebutuhan dan harapan perusahaan, termasuk identifikasi, spesifikasi, desain, penerbitan, perjanjian, dan
pemantauan layanan TI, tingkat layanan, dan indikator kinerja.
Rencanakan
Sejajarkan,
Atur
dan 07 Penyampaian layanan TI sesuai dengan kebutuhan bisnis
1. Perusahaan dapat secara efektif memanfaatkan layanan TI seperti yang didefinisikan s.UMBEROFBUSINESSPROSES DENGAN PERJANJIAN LAYANAN YANG DITENTUKAN
dalam katalog.
2. Perjanjian layanan mencerminkan kebutuhan perusahaan dan kemampuan TI. s0ERCENTOFLIVE)4LAYANAN DILAKUKAN OLEH PERJANJIAN LAYANAN
s0ERCENTOFCPELANGGANPUASBAHWALAYANANDELIVERYMEETS
tingkat yang disepakati
3. Layanan TI melakukan sebagaimana diatur dalam perjanjian layanan. s.UMBERDAN KERUSAKAN PELANGGARAN LAYANAN
s0ERCENTOSERVICESBEINGMONITOREDTOSERVICELEVELS
s0ERCENTOFSERVICETARGETSBEINGMET
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO09.01
C RRRC I Saya IRI CCCA I Saya
APO09.02
Saya Saya Saya Saya IRI CCCA I Saya
APO09.03
Menentukan dan menyiapkan RC C C CCR CRRACC
perjanjian layanan.
APO09.04
Memantau dan melaporkan Saya SAYA DAN C Saya Saya saya ITU
tingkat layanan.
APO09.05
Meninjau perjanjian dan kontrak AC C C CCR CRRRCC I
layanan.
: MENGAKTIFKAN PROSES
Kegiatan
1. Menilai layanan dan tingkat layanan TI saat ini untuk mengidentifikasi kesenjangan antara layanan yang ada dan aktivitas bisnis yang didukungnya. Identifikasi area untuk
peningkatan layanan yang ada dan opsi tingkat layanan.
2. Menganalisis, mempelajari, dan memperkirakan permintaan di masa mendatang dan mengonfirmasi kapasitas layanan berkemampuan TI yang ada.
3. Menganalisis aktivitas proses bisnis untuk mengidentifikasi kebutuhan layanan TI baru atau yang didesain ulang.
4. Bandingkan persyaratan yang teridentifikasi dengan komponen layanan yang ada dalam portofolio. Jika memungkinkan, paketkan komponen layanan yang ada (layanan TI, layanan
pilihan tingkat dan paket layanan) ke dalam paket layanan baru untuk memenuhi kebutuhan bisnis yang teridentifikasi.
5. Jika memungkinkan, sesuaikan permintaan dengan paket layanan dan ciptakan layanan standar untuk mendapatkan efisiensi secara keseluruhan.
6. Secara teratur meninjau portofolio layanan TI dengan manajemen portofolio dan manajemen hubungan bisnis untuk mengidentifikasi layanan usang. Setuju
pensiun dan mengusulkan perubahan.
Kegiatan
1. Publikasikan dalam katalog layanan langsung yang mendukung TI, paket layanan, dan opsi tingkat layanan dari portofolio.
2. Secara terus menerus memastikan bahwa komponen layanan dalam portofolio dan katalog layanan terkait sudah lengkap dan up to date.
3. Menginformasikan manajemen hubungan bisnis tentang setiap pembaruan pada katalog layanan.
Kegiatan
1. Menganalisis persyaratan untuk perjanjian layanan baru atau yang diubah yang diterima dari manajemen hubungan bisnis untuk memastikan bahwa persyaratan dapat dicocokkan.
Pertimbangkan aspek-aspek seperti waktu layanan, ketersediaan, kinerja, kapasitas, keamanan, kontinuitas, kepatuhan dan masalah peraturan, kegunaan, dan kendala permintaan.
2. Menyusun perjanjian layanan pelanggan berdasarkan layanan, paket layanan, dan opsi tingkat layanan dalam katalog layanan terkait.
3. Menentukan, menyepakati, dan mendokumentasikan perjanjian operasional internal untuk mendukung perjanjian layanan pelanggan, jika berlaku.
4. Bekerja sama dengan manajemen pemasok untuk memastikan bahwa kontrak komersial yang sesuai dengan penyedia layanan eksternal mendukung layanan pelanggan
perjanjian, jika berlaku.
untuk meningkatkan
realisasi manfaat
s"ENEFITRESULTSAND
komunikasi terkait
APO11.0 s2OOTCAUSESOFQUALITY
kegagalan pengiriman
s2ESULTSOLUSI
dan pemantauan kualitas
pemberian layanan
diprioritaskan
DSS02.07 s2EQUESTFULFILMENTSTATUS
dan laporan tren
s)NCIDENTSTATUSAND
laporan tren
Kegiatan
1. Menetapkan dan memelihara langkah-langkah untuk memantau dan mengumpulkan data tingkat layanan.
2. Mengevaluasi kinerja dan memberikan pelaporan kinerja perjanjian layanan secara teratur dan formal, termasuk penyimpangan dari nilai-nilai yang disepakati.
Distribusikan laporan ini ke manajemen hubungan bisnis.
3. Lakukan tinjauan rutin untuk memperkirakan dan mengidentifikasi tren kinerja tingkat layanan.
5. Menyetujui rencana aksi dan perbaikan untuk setiap masalah kinerja atau tren negatif.
Kegiatan
1. Secara teratur meninjau perjanjian layanan sesuai dengan persyaratan yang disepakati untuk memastikan bahwa perjanjian tersebut efektif dan terkini serta perubahan persyaratan,
Layanan berkemampuan TI, paket layanan, atau opsi tingkat layanan diperhitungkan, jika perlu.
: MENGAKTIFKAN PROSES
)3/ )%# s
0LANNINGDAN MELAKSANAKAN LAYANAN PERUBAHAN BARU
s
3 MANAJEMEN LEVICELEVEL
)4),6 s $MAND-ANAGEMENT
s 3ERVICE0ORTFOLIO-ANAGEMENT
s 3ERVICE#ATALOGUE-ANAGEMENT
s 3ERVICE,EVEL-ANAGEMENT
s
3ERVICE2EPORTING
Area: Manajemen
APO10 Kelola Pemasok Domain: Sejajarkan, Rencanakan, dan Atur
Rencanakan
Sejajarkan,
Atur
dan Tujuan terkait TI
s0ERCENTOFCRITICALBUSINESSPROCESSES)4SERVICESAND)4
MENGAKTIFKAN program bisnis yang dicakup oleh penilaian risiko
s.UMBEROFSIGNIFICANT)4 RELATEDINCIDENTSEHATWERENOTIDENTIFIEDIN
penilaian risiko
s0ERCENTOFENTERPRISERISKASSESSMENTSINCLUDING)4
RELATEDRISK s&REQUENCYOFUPDATEOFRISKPROFILE
2. Risiko pemasok dinilai dan ditangani dengan benar. s.PERISTIWA TERKAIT UMBEROFRISK MEMIMPIN KEINSIDEN LAYANAN
s&REQUENCYOFRISKMANAGEMENTSESSIONSWITHSUPPLIER
s0ERCENTOFRISK RELATEDINSIDENTSRESOLVEDIKTI WAKTU DAN BIAYA YANG DAPAT DITERIMA
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO10.02
C C CCCACCCCRCCC
Pilih pemasok.
APO10.03
Mengelola hubungan dan Saya CCCACRRRCCC
kontrak pemasok.
APO10.04
C R CCCACRR CCCC
Mengelola risiko pemasok.
APO10.05
Memantau kinerja dan Saya C C CCCACRR CCCC
kepatuhan pemasok.
: MENGAKTIFKAN PROSES
Kegiatan
1. Tetapkan dan pertahankan kriteria yang berkaitan dengan jenis, signifikansi, dan kekritisan pemasok dan kontrak pemasok, memungkinkan fokus pada pilihan dan
pemasok penting.
2. Menetapkan dan memelihara kriteria evaluasi pemasok dan kontrak untuk memungkinkan tinjauan keseluruhan dan perbandingan kinerja pemasok dengan cara yang konsisten.
3. Identifikasi, catat, dan kategorikan pemasok dan kontrak yang ada sesuai dengan kriteria yang ditentukan untuk mempertahankan daftar terperinci pemasok pilihan yang
perlu dikelola dengan hati-hati.
4. Secara berkala mengevaluasi dan membandingkan kinerja pemasok yang ada dan pemasok alternatif untuk mengidentifikasi peluang atau kebutuhan mendesak untuk mempertimbangkan kembali
kontrak pemasok saat ini.
Kegiatan
%VALUATE2&)PASIR2&0SINSESUATU DENGAN KRITERIA PROSES PENILAIAN YANG DISETUJUI DAN UTAMA INDOKUMENTER BUKTI EVALUASI TERSEBUT
6ERIFYTHEREFERENCESOFCANDIDATEVENDORS
3. Pilih pemasok yang paling sesuai dengan RFP. Dokumentasikan dan komunikasikan keputusan, dan tandatangani kontrak.
4. Dalam kasus khusus akuisisi perangkat lunak, sertakan dan terapkan hak dan kewajiban semua pihak dalam persyaratan kontrak. Hak-hak ini dan
kewajiban dapat mencakup kepemilikan dan lisensi kekayaan intelektual, pemeliharaan, jaminan, prosedur arbitrase, persyaratan peningkatan, dan kesesuaian untuk tujuan, termasuk
keamanan, escrow, dan hak akses.
5. Dalam kasus khusus akuisisi sumber daya pembangunan, sertakan dan tegakkan hak dan kewajiban semua pihak dalam persyaratan kontrak.
Hak dan kewajiban ini dapat mencakup kepemilikan dan pemberian lisensi atas kekayaan intelektual; sesuai dengan tujuan, termasuk metodologi pengembangan; pengujian;
proses manajemen mutu, termasuk kriteria kinerja yang dipersyaratkan; ulasan kinerja; dasar pembayaran; jaminan; PROSEDUR arbitrase PENGELOLAAN SUMBER DAYA
MANUSIA DAN KEPATUHAN TERHADAP KEBIJAKAN PERUSAHAAN
6. Dapatkan nasihat hukum tentang perjanjian akuisisi pengembangan sumber daya mengenai kepemilikan dan lisensi kekayaan intelektual.
7. Dalam kasus khusus akuisisi infrastruktur, fasilitas dan layanan terkait, termasuk dan menegakkan hak dan kewajiban semua pihak dalam persyaratan kontrak. Hak dan kewajiban ini
dapat mencakup tingkat layanan, prosedur pemeliharaan, kontrol akses, keamanan, tinjauan kinerja, dasar pembayaran, dan prosedur arbitrase.
Kegiatan
1. Tetapkan pemilik hubungan untuk semua pemasok dan buat mereka bertanggung jawab atas kualitas layanan yang diberikan.
2. Tentukan komunikasi formal dan proses peninjauan, termasuk interaksi dan jadwal pemasok.
3. Menyetujui, mengelola, memelihara, dan memperbarui kontrak formal dengan pemasok. Pastikan bahwa kontrak sesuai dengan standar perusahaan dan hukum dan
persyaratan peraturan.
4. Dalam kontrak dengan pemasok layanan utama, termasuk ketentuan untuk meninjau lokasi pemasok dan praktik serta kontrol internal oleh manajemen atau
pihak ketiga yang independen.
6. Menentukan, mengomunikasikan, dan menyepakati cara-cara untuk menerapkan perbaikan yang diperlukan dalam hubungan.
7. Gunakan prosedur yang telah ditetapkan untuk menangani perselisihan kontrak, pertama-tama gunakan, sedapat mungkin, hubungan dan komunikasi yang efektif untuk mengatasinya
masalah layanan.
8. Menentukan dan memformalkan peran dan tanggung jawab untuk setiap pemasok layanan. Ketika beberapa pemasok bergabung untuk menyediakan layanan, pertimbangkan untuk mengalokasikan a
memimpin peran kontraktor ke salah satu pemasok untuk bertanggung jawab atas keseluruhan kontrak.
Kegiatan
)DENTIFIKASI PEMANTAUAN DAN MANA MANAJEMEN YANG TEPAT RISIKO YANG BERKAITAN DENGAN KEMAMPUAN PEMASOK TERHADAP LAYANAN PEMBERIAN SECARA EFEKTIF, AMAN, TERPERCAYA
2. Saat menentukan kontrak, sediakan potensi risiko layanan dengan mendefinisikan secara jelas persyaratan layanan, termasuk perjanjian escrow perangkat lunak,
pemasok alternatif atau perjanjian siaga untuk mengurangi kemungkinan kegagalan pemasok; keamanan dan perlindungan kekayaan intelektual (HAKI); dan persyaratan hukum
atau peraturan apa pun.
Kegiatan
1. Menetapkan dan mendokumentasikan kriteria untuk memantau kinerja pemasok selaras dengan perjanjian tingkat layanan dan memastikan bahwa pemasok secara teratur dan
transparan melaporkan kriteria yang disepakati.
2. Memantau dan meninjau pemberian layanan untuk memastikan bahwa pemasok memberikan kualitas layanan yang dapat diterima, memenuhi persyaratan, dan mematuhi
kondisi kontrak.
3. Tinjau kinerja pemasok dan nilai uang untuk memastikan bahwa mereka dapat diandalkan dan kompetitif, dibandingkan dengan pemasok alternatif dan
kondisi pasar.
4. Mintalah tinjauan independen atas praktik dan kontrol internal pemasok, jika perlu.
5. Catat dan nilai hasil tinjauan secara berkala dan diskusikan dengan pemasok untuk mengidentifikasi kebutuhan dan peluang perbaikan.
6. Memantau dan mengevaluasi informasi yang tersedia secara eksternal tentang pemasok.
: MENGAKTIFKAN PROSES
Area: Manajemen
APO11 Manage Quality Domain: Sejajarkan, Rencanakan, dan Atur
Process Description
Mendefinisikan dan mengkomunikasikan persyaratan kualitas dalam semua proses, prosedur dan hasil perusahaan terkait, termasuk kontrol, pemantauan berkelanjutan, dan
penggunaan praktik dan standar yang telah terbukti dalam upaya peningkatan dan efisiensi berkelanjutan.
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASIWENEFITREALISATIONDIMONITORING
melalui siklus hidup ekonomi penuh
s0ERCENTOF)4LAYANANSHEREEDENEFITSARREALISATION s0ERCENTOF)4
AKTIFKAN INVESTMENTSHERECLAIMEDBENEFITAREMET
atau melebihi
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai s.UMBEROFPROGRAMMES PROJECTSONTIMEANDwithINBUDGET
anggaran, dan memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUSAT DENGAN PROGRAMME
PROJECTQUALITY s.UMBEROFPROGRAMMENETINGSIGNIFIKANANREWORK
DUETOQUALITYCOSTS#OSTOFAPLICATIONMAINTENANCE)
1. Pemangku kepentingan puas dengan kualitas solusi dan layanan. s! veragestakeholderSat -factoratingingwithsolutions dan layanan
s0ercentofstakeholderSatsat -soFied with)
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
mutu (SMM).
APO11.02
Menentukan dan mengelola
C CRC R C CCARRRRRRR
Rencanakan,
Sejajarkan,
Atur
dan
standar, praktik, dan prosedur
kualitas.
APO11.03
Fokus manajemen kualitas ARC I CCR I Saya Saya INI Saya
pada pelanggan.
APO11.04
Melakukan pemantauan, C CRCRC R CCCCCCRCCC
pengendalian, dan tinjauan kualitas.
APO11.0
Mengintegrasikan manajemen mutu
CC Saya ACRR R
ke dalam solusi untuk pengembangan
dan pemberian layanan.
APO11.06
Pertahankan perbaikan CRC R CCARRRRRRR
terus-menerus.
Kegiatan
1. Pastikan bahwa kerangka kontrol TI dan proses bisnis dan TI mencakup pendekatan standar, formal, dan berkelanjutan untuk manajemen mutu
yang selaras dengan persyaratan perusahaan. Dalam kerangka kontrol TI dan proses bisnis dan TI, identifikasi persyaratan dan kriteria kualitas
(misalnya, berdasarkan persyaratan hukum dan persyaratan dari pelanggan).
2. Tentukan peran, tugas, hak keputusan dan tanggung jawab untuk manajemen mutu dalam struktur organisasi.
$EFINEQUALITYMANAGEMENTPLANSFORIMPENTINGPROSESPROYEKSOROBJEKTIFSINALIGNMENTDENGANPRISEQUALITYMANAGEMENTKRITERIAAND
kebijakan. Catat data berkualitas.
4. Memantau dan mengukur efektivitas dan penerimaan manajemen mutu, dan meningkatkannya bila diperlukan.
5. Menyelaraskan manajemen kualitas TI dengan sistem kualitas seluruh perusahaan untuk mendorong pendekatan kualitas yang terstandarisasi dan berkelanjutan.
6. Memperoleh masukan dari manajemen dan pemangku kepentingan eksternal dan internal tentang definisi persyaratan mutu dan kriteria manajemen mutu.
7. Komunikasikan pendekatan secara efektif (misalnya, melalui program pelatihan kualitas formal yang teratur).
8. Secara teratur meninjau relevansi, efisiensi, dan efektivitas proses manajemen mutu tertentu yang berkelanjutan. Memantau pencapaian
TUJUAN KUALITAS
APO11.02 Menentukan dan mengelola standar, praktik, dan Dari Keterangan Keterangan Ke
prosedur kualitas.
BAI02.04 Ulasan kualitas yang disetujui Standar manajemen mutu Semua APO
Identifikasi dan pertahankan persyaratan, standar,
Semua BAI
prosedur, dan praktik untuk proses utama untuk memandu Di luar COBIT s) INDUSTRI PRAKTIK BAIK
Semua DSS
perusahaan dalam memenuhi maksud SMM yang disepakati. Ini s!KUALITAS TERSEDIA
Segala hal
harus sejalan dengan persyaratan kerangka kontrol TI. sertifikasi
Pertimbangkan sertifikasi untuk proses kunci, unit organisasi, produk
atau layanan.
Kegiatan
Kegiatan
1. Fokuskan manajemen kualitas pada pelanggan dengan menentukan persyaratan pelanggan internal dan eksternal dan memastikan keselarasan standar TI dan PRAKTEK
2. Mengelola kebutuhan dan harapan bisnis untuk setiap proses bisnis, layanan operasional TI dan solusi baru, serta menjaga kualitasnya
kriteria penerimaan. Tangkap kriteria penerimaan kualitas untuk dimasukkan dalam SLA.
3. Mengkomunikasikan kebutuhan dan harapan pelanggan di seluruh bisnis dan organisasi TI.
4. Secara berkala mendapatkan pandangan pelanggan tentang proses bisnis dan penyediaan layanan dan pengiriman solusi TI, untuk menentukan dampaknya terhadap standar TI dan
praktik dan untuk memastikan bahwa harapan pelanggan terpenuhi dan ditindaklanjuti.
5. Secara teratur memantau dan meninjau SMM terhadap kriteria penerimaan yang disepakati. Sertakan umpan balik dari pelanggan, pengguna, dan manajemen. Menanggapi
perbedaan dalam hasil tinjauan untuk terus meningkatkan SMM.
: MENGAKTIFKAN PROSES
Kegiatan
4. Pantau kualitas proses, serta kualitas nilai yang diberikan. Pastikan bahwa pengukuran, pemantauan, dan pencatatan informasi digunakan oleh pemilik proses untuk mengambil tindakan korektif
dan pencegahan yang sesuai.
6. Pastikan bahwa manajemen dan pemilik proses secara teratur meninjau kinerja manajemen kualitas terhadap metrik kualitas yang ditentukan.
Kegiatan
1. Mengintegrasikan praktik manajemen mutu dalam proses dan praktik pengembangan solusi.
2. Terus memantau tingkat layanan dan memasukkan praktik manajemen mutu dalam proses dan praktik pemberian layanan.
3. Mengidentifikasi dan mendokumentasikan akar penyebab ketidaksesuaian, dan mengkomunikasikan temuan kepada manajemen TI dan pemangku kepentingan lainnya secara tepat waktu untuk
memungkinkan tindakan perbaikan yang akan diambil. Jika perlu, lakukan tinjauan tindak lanjut.
Semua DSS
Segala hal
Semua DSS
Segala hal
Kegiatan
1. Pertahankan dan komunikasikan secara teratur kebutuhan, dan manfaat, perbaikan berkelanjutan.
2. Membangun platform untuk berbagi praktik terbaik dan untuk menangkap informasi tentang cacat dan kesalahan untuk memungkinkan pembelajaran darinya.
3. Mengidentifikasi contoh cacat kualitas yang berulang, menentukan akar penyebabnya, mengevaluasi dampak dan hasilnya, dan menyepakati tindakan perbaikan dengan TIM LAYANAN DAN PROYEK
PENYIMPANAN )DENTIFYCONTOHKUALITAS SANGAT BAIK PROSES PENGIRIMAN YANG DAPAT MANFAATKAN LAYANAN ATAU PROYEK LAINNYA SANDIBAGIKAN DENGAN LAYANAN
DAN PROYEK
tim pengiriman untuk mendorong perbaikan.
6. Membangun lingkaran umpan balik antara manajemen mutu dan manajemen masalah.
7. Memberikan pelatihan kepada karyawan tentang metode dan alat perbaikan berkelanjutan.
8. Tolok ukur hasil tinjauan kualitas terhadap data historis internal, pedoman industri, standar, dan data dari jenis perusahaan yang serupa.
)3/ )%#
: MENGAKTIFKAN PROSES
Area: Manajemen
APO12 Kelola Risiko Domain: Sejajarkan, Rencanakan, dan Atur
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN FINTING
eksternal dan Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan Kepatuhan yang
Diprioritaskan RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN penilaian risiko
s0ERCENTOFENTERPRISERISKASSESSMENTSINCLUDING)4
RELATEDRISK s&REQUENCYOFUPDATEOFRISKPROFILE
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, s.UMBEROFPROGRAMMES PROJECTSONTIMEANDwithINBUDGET
dan memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUSAT DENGAN PROGRAMME
PROJECTQUALITY s.UMBEROFPROGRAMMENETINGSIGNIFIKANANREWORK
DUETOQUALITYCOSTS#OSTOFAPLICATIONMAINTENANCE)
Semua tindakan manajemen risiko yang signifikan dikelola dan dikendalikan. s0ERCENTOFRISKMANAGEMENTPROPOSALSREJECTEDDUETOLACKOF pertimbangan
risiko terkait lainnya
s.UMBEROFSIGNIFICANTINSIDENTSNOTIDENTIFIEDANDINCLUDED INHERISK
portofolio manajemen s0ERCENTOF)4 RENCANA TINDAKAN RISIKO
4. Tindakan manajemen risiko dilaksanakan secara efektif. DILAKSANAKAN SEBAGAI RESMI YANG DIRANCANGKAN SEUMURNYA.
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO12.01
Saya R R RR I CCARRRRRRR
Mengumpulkan data.
APO12.02
Saya R C RC I RRACCCCCCCC
Analisis risiko.
APO12.03
Saya R C AC I RRRCCCCCCCC
Rencanakan,
Sejajarkan,
Atur
dan
APO12.04
Saya R C RC I CCACCCCCCCC
Mengartikulasikan risiko.
APO12.05
Mendefinisikan portofolio Saya R C AC I CCRCCCCCCCC
tindakan manajemen risiko.
APO12.06
Saya R R RR I CCARRRRRRR
Menanggapi risiko.
AP02.02 Kesenjangan dan risiko terkait Masalah dan faktor risiko EDM03.01
dengan kemampuan saat ini yang muncul APO01.03
AP02.02
APO02.05 Tugas beresiko
yang teridentifikasi
APO12.01 Kegiatan
1. Menetapkan dan memelihara metode untuk pengumpulan, klasifikasi, dan analisis data terkait risiko TI, mengakomodasi berbagai jenis peristiwa, banyak
kategori risiko TI dan beberapa faktor risiko.
3. Survei dan analisis data risiko TI historis dan pengalaman kerugian dari data dan tren yang tersedia secara eksternal, rekan industri melalui berbasis industri
log peristiwa, database, dan perjanjian industri untuk pengungkapan peristiwa umum.
2ECORDDATAONRISKEVENT YANG TELAH MENYEBABKANDORM DAPAT MENYEBABKAN DAMPAKSTO)4NILAI MANFAAT)4PROGRAMDAN PROYEK PENYIMPANANDAN ATAU)4
operasi dan pemberian layanan. Menangkap data yang relevan dari isu-isu terkait, insiden, masalah dan investigasi.
5. Untuk kelas acara serupa, atur data yang dikumpulkan dan soroti faktor-faktor yang berkontribusi. Tentukan faktor-faktor yang berkontribusi umum di seluruh
beberapa acara.
6. Menentukan kondisi spesifik yang ada atau tidak ada saat kejadian risiko terjadi dan bagaimana kondisi tersebut memengaruhi frekuensi kejadian
dan besaran kerugian.
7. Lakukan analisis peristiwa dan faktor risiko secara berkala untuk mengidentifikasi masalah risiko baru atau yang muncul dan untuk mendapatkan pemahaman tentang internal dan
faktor risiko eksternal.
Kegiatan
1. Tentukan luas dan dalamnya upaya analisis risiko yang tepat, dengan mempertimbangkan semua faktor risiko dan kekritisan aset bisnis. Tetapkan cakupan analisis risiko setelah melakukan
analisis biaya-manfaat.
3. Perkirakan frekuensi dan besarnya kerugian atau keuntungan yang terkait dengan skenario risiko TI. Mempertimbangkan semua faktor risiko yang berlaku, mengevaluasi diketahui
pengendalian operasional dan memperkirakan tingkat risiko residual.
4 Bandingkan risiko residual dengan toleransi risiko yang dapat diterima dan identifikasi eksposur yang mungkin memerlukan respons risiko.
3MENENTUKAN PERSYARATAN TINGKAT TINGGI UNTUK PROYEK ATAU PROGRAM YANG AKAN MELAKSANAKAN RESPONS RISIKO TERPILIH )DENTIFIKASI PERSYARATANDANDEKSPEKSI
untuk kontrol kunci yang tepat untuk respons mitigasi risiko.
6ALIDASI HASIL ANALISIS HASIL SEBELUM MENGGUNAKAN INDUSTRI PEMBUATAN KEPUTUSAN MENGKONFIRMASI BAHWA ANALISIS ALIRAN DENGAN PERSYARATAN PRISER ENTER DAN VERIFIKASI
bahwa estimasi dikalibrasi dengan benar dan diteliti untuk bias.
: MENGAKTIFKAN PROSES
Kegiatan
1. Inventarisasi proses bisnis, termasuk personel pendukung, aplikasi, infrastruktur, fasilitas, catatan manual kritis, vendor, pemasok, dan
outsourcing, dan mendokumentasikan ketergantungan pada proses manajemen layanan TI dan sumber daya infrastruktur TI.
2. Menentukan dan menyepakati layanan TI dan sumber daya infrastruktur TI mana yang penting untuk menopang operasi proses bisnis. Menganalisa
ketergantungan dan mengidentifikasi tautan yang lemah.
3. Agregat skenario risiko saat ini berdasarkan kategori, lini bisnis, dan area fungsional.
4. Secara teratur, tangkap semua informasi profil risiko dan konsolidasikan ke dalam profil risiko gabungan.
5. Berdasarkan semua data profil risiko, tentukan serangkaian indikator risiko yang memungkinkan identifikasi dan pemantauan risiko saat ini dan tren risiko dengan cepat.
6. Menangkap informasi tentang kejadian risiko TI yang telah terjadi, untuk dimasukkan dalam profil risiko TI perusahaan.
7. Menangkap informasi tentang status rencana tindakan risiko, untuk dimasukkan dalam profil risiko TI perusahaan.
Kegiatan
1. Laporkan hasil analisis risiko kepada semua pemangku kepentingan yang terkena dampak dalam bentuk dan format yang berguna untuk mendukung keputusan perusahaan. Jika memungkinkan, sertakan
probabilitas dan rentang kerugian atau keuntungan bersama dengan tingkat kepercayaan yang memungkinkan manajemen untuk menyeimbangkan risiko-pengembalian.
2. Memberikan pemahaman kepada pengambil keputusan tentang skenario terburuk dan paling mungkin, eksposur uji tuntas, dan reputasi signifikan, hukum
atau pertimbangan regulasi.
3. Melaporkan profil risiko terkini kepada seluruh pemangku kepentingan, termasuk efektivitas proses manajemen risiko, efektivitas pengendalian, gap, inkonsistensi, redundansi, status
remediasi, dan dampaknya terhadap profil risiko.
5. Secara berkala, untuk area dengan risiko relatif dan paritas kapasitas risiko, identifikasi peluang terkait TI yang memungkinkan penerimaan risiko yang lebih besar
dan meningkatkan pertumbuhan dan pengembalian.
Kegiatan
1. Memelihara inventarisasi aktivitas pengendalian yang ada untuk mengelola risiko dan yang memungkinkan risiko diambil sesuai dengan selera dan toleransi risiko.
Mengklasifikasikan aktivitas pengendalian dan memetakannya ke pernyataan risiko TI tertentu dan agregasi risiko TI.
2. Tentukan apakah setiap entitas organisasi memantau risiko dan menerima akuntabilitas untuk beroperasi dalam tingkat toleransi individu dan portofolionya.
$EFINEABALANCEDSETOFPROJECTPROPOSALSDESIGNEDTOREDUCERRISKAND ORPROJECTSTHATENABLESTRATEGICENTERPRISEOPPORTUNITIESMENIMBANGKAN
PENGARUH BIAYA MANFAAT PADA PROFIL RISIKO SAAT INI DAN PERATURAN
Kegiatan
1. Mempersiapkan, memelihara, dan menguji rencana yang mendokumentasikan langkah-langkah spesifik yang harus diambil ketika peristiwa risiko dapat menyebabkan operasional atau pengembangan yang signifikan
insiden dengan dampak bisnis yang serius. Pastikan bahwa rencana mencakup jalur eskalasi di seluruh perusahaan.
2. Kategorikan insiden, dan bandingkan eksposur aktual dengan ambang batas toleransi risiko. Mengkomunikasikan dampak bisnis kepada pengambil keputusan sebagai bagian
dari pelaporan, dan memperbarui profil risiko.
3. Menerapkan rencana respons yang tepat untuk meminimalkan dampak ketika insiden risiko terjadi.
)3/ )%#
: MENGAKTIFKAN PROSES
Area: Manajemen
APO13 Manage Security Domain: Sejajarkan, Rencanakan, dan Atur
Process Description
Mendefinisikan, mengoperasikan dan memantau sistem untuk manajemen keamanan informasi.
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN FINTING
eksternal dan Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan Kepatuhan yang
Diprioritaskan RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN penilaian risiko
s0ERCENTOFENTERPRISERISKASSESSMENTSINCLUDING)4
RELATEDRISK s&REQUENCYOFUPDATEOFRISKPROFILE
s2ASIOANDEXTENTOFERRONEOUSBUSINESSKeputusanWHEREERRONEOUSOR
informasi yang tidak tersedia adalah faktor kunci
1. Ada sistem yang mempertimbangkan dan secara efektif menangani persyaratan s.UMBEROFKEYPERAN KEAMANANDENTIFIKASI
keamanan informasi perusahaan. JELAS s.UMBEROFSECURITYRELATEDDINCIDENT
2. Rencana keamanan telah ditetapkan, diterima, dan dikomunikasikan s, evelofstakeholderSata -factslow the cetururity planThouthout the enterprise
di seluruh perusahaan. s.umsecuritysolutionsDeviatingDromTheplan s.
BumbherOfSecuritySolutionsDeviatingDromeChomeCureCure -noMerDiCure
-nOrective -nOrnOrdOndOndOndeCureCureCureCuration
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
APO13.02
Menentukan dan mengelola
C CCCC I Saya CACC CCRCCCRCRCC
rencana penanganan risiko
keamanan informasi.
Rencanakan,
Sejajarkan,
Atur
dan
APO13.03
CRC R Sebuah CCRRRRRRRR
Memantau dan meninjau SMKI.
1. Tentukan ruang lingkup dan batasan SMKI dalam hal karakteristik perusahaan, organisasi, lokasi, aset, dan teknologinya.
)TERMASUK DETAILSOFANDJUSTIFICATIONFORANYPENGECUALIANFROMTHESCOPE
2. Tentukan SMKI sesuai dengan kebijakan perusahaan dan selaras dengan perusahaan, organisasi, lokasi, aset, dan teknologinya.
3. Menyelaraskan SMKI dengan pendekatan perusahaan secara keseluruhan untuk manajemen keamanan.
4. Memperoleh otorisasi manajemen untuk menerapkan dan mengoperasikan atau mengubah SMKI.
5. Menyiapkan dan memelihara pernyataan penerapan yang menjelaskan ruang lingkup SMKI.
6. Menentukan dan mengkomunikasikan peran dan tanggung jawab manajemen keamanan informasi.
APO12.05 0ROJECTPROPOSALFOR
mengurangi risiko
Kegiatan
2. Memelihara sebagai bagian dari arsitektur perusahaan, inventaris komponen solusi yang ada untuk mengelola risiko terkait keamanan.
3. Mengembangkan proposal untuk mengimplementasikan rencana penanganan risiko keamanan informasi, yang didukung oleh kasus bisnis yang sesuai, yang mencakup pertimbangan:
pendanaan dan alokasi peran dan tanggung jawab.
4. Memberikan masukan untuk desain dan pengembangan praktik manajemen dan solusi yang dipilih dari rencana penanganan risiko keamanan informasi.
5. Tentukan bagaimana mengukur efektivitas praktik manajemen yang dipilih dan tentukan bagaimana pengukuran ini akan digunakan untuk menilai
efektif untuk menghasilkan hasil yang sebanding dan dapat direproduksi.
7. Mengintegrasikan perencanaan, desain, implementasi, dan pemantauan prosedur keamanan informasi dan pengendalian lain yang mampu memungkinkan proses yang cepat
pencegahan, deteksi kejadian keamanan dan respon terhadap insiden keamanan.
Kegiatan
3. Melakukan tinjauan manajemen SMKI secara teratur untuk memastikan bahwa ruang lingkup tetap memadai dan perbaikan dalam proses SMKI
diidentifikasi.
4. Memberikan masukan terhadap rencana pemeliharaan keamanan dengan mempertimbangkan temuan kegiatan pemantauan dan peninjauan.
5. Merekam tindakan dan peristiwa yang dapat berdampak pada efektivitas atau kinerja SMKI.
)3/ )%#
: MENGAKTIFKAN PROSES
06 Kelola perubahan.
08 Mengelola pengetahuan.
09 Mengelola aset.
10 Kelola konfigurasi.
: MENGAKTIFKAN PROSES
Area: Manajemen
BAI01 Kelola Program dan Proyek Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
-ANAGESEMUAPROGRAMSANDPROJECTFROMTHEINVESTMENTPORTFOLIOINALIGNMENTDENGAN ENTERPRISESTRATEGYANDINACO ORDINATEDWAY )NITIATEPLANCONTROL
DANPENGELOLAANPROGRAMDAN PROYEKSANDCLOSETINJAUAN PASCA IMPLEMENTASI
01 Penyelarasan TI dan strategi bisnis yang mendukung) 4 Tujuan Strategis, EvelofstakeholderSatishaftion dengan
CopeStheplepannedport Coveration -programs yang disederhanakan
05 Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI s0ERCENTOF)4 AKTIFKAN INVESTASIWENEFITREALISATIONDIMONITORING melalui
siklus hidup ekonomi penuh s0ERCENTOF)4LAYANANSHEREEDENEFITSARREALISATION
s0ERCENTOF)4 AKTIFKAN INVESTMENTSHERECLAIMEDBENEFITAREMET
atau melebihi
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, s.UMBEROFPROGRAMMES PROJECTSONTIMEANDwithINBUDGET
dan memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUSAT DENGAN PROGRAMME
PROJECTQUALITY s.UMBEROFPROGRAMMENETINGSIGNIFIKANANREWORK
DUETOQUALITYCOSTS#OSTOFAPLICATIONMAINTENANCE)
4 RUANG LINGKUP DAN HASIL PROGRAM DAN PROYEK DAPAT DIPERLUKAN s0ERCENTOFSTAKEHOLDERSmenyetujuiENTERPRISENEEDSCOPEPLANNED
SESUAI DENGAN TUJUAN Outcomeandlevelofprojectrisk
s0ercentOfprojecjecjecjectyderjokendendendowing -Ad -coverinessscasesssase
4HEREARESCUKUP PROGRAM DAN PROYEK SUMBER DAYA MELAKUKAN s.UMBEROFRESOURCEISSUES misal SKILLSCAPACITY
kegiatan sesuai rencana.
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI01.02
saya RCCARRRRR CCCC CCCC
Memulai program.
BAI01.03
BAI01.04
Mengembangkan dan CCAC RRRC CCCCCC CCCC
memelihara rencana program.
BAI01.05
Luncurkan dan jalankan IC CCAR RR CCRRRR CCCC
program.
BAI01.06
Memantau, mengontrol dan DAN KE RRRC CRR CC C
melaporkan hasil program.
BAI01.07
Implementasikan
Dapatkan,
Bangun,
dan
3PROYEK TARTUPANDINITIATE RR I AR CCRC CCCC
dalam suatu program.
BAI01.08
CI AR CCCCCCCC
0LANPROJECT
BAI01.09
Kelola program dan RR I AR C CCCCRC CCCC
PROJECTQUALITY
BAI01.10
Kelola program dan RR I AR C CCCCRC CCCC
PROJECTRISK
BAI01.11
IRI AR C CRCCRC CCCC
-ONITORANDCONTROLPROJECTS
BAI01.12
-ANAGEPROJECTRESOURCESAND RI AR C CCCCRC CCCC
paket kerja.
BAI01.13
CC I AR C CCCCCC CCCC
#LOSEAPROJECTORITERATION
BAI01.14
Saya CCCAR saya RRR RCCC CCCC
Menutup program.
kegiatan manajemen yang berfokus pada pencapaian nilai dan tujuan penyampaian nilai
yang teridentifikasi
Kegiatan
-PENDEKATAN DANPENDEKATANPENDEKATANPENDEKATANPROGRAMDANMANAJEMEN PROYEK DISESUAIKAN DENGAN SPESIFIKASI ENTERPRISE SSSPESIFIKASI LINGKUNGANDAN DENGAN BAIK
praktek berdasarkan proses yang ditetapkan dan penggunaan teknologi tepat guna. Pastikan bahwa pendekatan tersebut mencakup siklus hidup penuh dan disiplin yang harus diikuti,
termasuk pengelolaan ruang lingkup, sumber daya, risiko, biaya, kualitas, waktu, komunikasi, keterlibatan pemangku kepentingan, pengadaan, kontrol perubahan, integrasi dan realisasi
manfaat.
Kegiatan
#ONFIRMTHEPROGRAMMEMANDATEWITHSPONSORSANDSTAKEHOLDERS !RTICULATETHESTRATEGICOBJECTIVESFORTHEPROGRAMMEPOTENSIALSTRATEGIESFOR
penyampaian, peningkatan dan manfaat yang diharapkan akan dihasilkan, dan bagaimana program tersebut cocok dengan inisiatif lain.
3. Kembangkan kasus bisnis yang terperinci untuk suatu program, jika diperlukan. Libatkan semua pemangku kepentingan utama untuk mengembangkan dan mendokumentasikan
pemahaman yang lengkap tentang hasil perusahaan yang diharapkan, bagaimana hasil tersebut akan diukur, cakupan penuh inisiatif yang diperlukan, risiko yang terlibat, dan dampaknya
terhadap semua aspek perusahaan. Mengidentifikasi dan menilai tindakan alternatif untuk mencapai hasil perusahaan yang diinginkan.
4. Mengembangkan rencana realisasi manfaat yang akan dikelola sepanjang program untuk memastikan bahwa manfaat yang direncanakan selalu memiliki pemilik dan dicapai,
dipertahankan dan dioptimalkan.
5. Mempersiapkan dan menyerahkan untuk persetujuan prinsip kasus bisnis program awal (konseptual), memberikan informasi pengambilan keputusan penting TENTANG TUJUAN
KONTRIBUSI TERHADAP BISNIS TUJUAN SEXPECTEDVALUECREATEDTIMEFRAMESETC
6. Menunjuk manajer yang berdedikasi untuk program, dengan kompetensi dan keterampilan yang sepadan untuk mengelola program secara efektif
dan efisien.
: MENGAKTIFKAN PROSES
merencanakan, mengidentifikasi dan melibatkan pemangku kepentingan Hasil penilaian efektivitas Intern
dan mengelola harapan mereka. pelibatan pemangku kepentingan
Kegiatan
0LANBAGAIMANA PEMEGANG PEMEGANG DI DALAM DAN LUAR ENTERPRISE AKAN DIIDENTIFIKASI ANALISIS TERLIBAT DAN DIKELOLA MELALUI LIFECYCLEOFTHEPROJECT
2. Mengidentifikasi, melibatkan, dan mengelola pemangku kepentingan dengan menetapkan dan mempertahankan tingkat koordinasi, komunikasi, dan penghubung yang tepat untuk memastikan
BAHWA MEREKA TERLIBAT DALAM PROGRAM
3. Mengukur efektivitas pelibatan pemangku kepentingan dan mengambil tindakan perbaikan yang diperlukan.
BAI05.03 6ISIONCOMMUNICATIONPLAN
Kegiatan
3MENENTUKAN SUMBER DAYA YANG DIBUTUHKANDAN KETERAMPILAN MELAKSANAKANPROYEKTERMASUKMANAJEMEN PROYEKDAN TIM PROYEKSAWELLASSUMBER BISNIS 3MENENTUKAN
JADWAL BIAYA PENDANAAN DAN KETERGANTUNGAN INTERFUNGSI BERBAGAI PROYEK 3PECIFYTHBASISFORACQUIRINGDAN MENDAFTARKANSTAF KOMPETEN ANGGOTA DAN ATAU
KONTRAKTORSTOTHEPROJECTS $EFINETHEROLESANDRESPONSIBILITIESFORALLTEAMMEMBERSANDOTHER YANG TERTARIK
%NSUREBAHWA ADA KOMUNIKASI EFEKTIFRENCANA PROGRAMDAN LAPORAN KEMAJUAN DIANTARA STALLPROJECTDAN KESELURUHAN PROGRAM %NSURE
bahwa setiap perubahan yang dibuat pada rencana individu tercermin dalam rencana program perusahaan lainnya.
5PDATEDAN MEMPERTAHANKAN SELURUH PROGRAMME KEHIDUPAN SEKONOMISKASUS BISNIS DAN KEUNTUNGANDAFTARMENDAFTAR UNTUK MENGIDENTIFIKASI DAN MENETAPKAN KUNCI KEUNTUNGAN MUNCUL
7. Siapkan anggaran program yang mencerminkan biaya siklus hidup ekonomi penuh dan manfaat keuangan dan non-keuangan terkait.
Kegiatan
2. Menetapkan tahapan proses pengembangan yang disepakati (pos pemeriksaan pengembangan). Di akhir setiap tahap, fasilitasi diskusi formal tentang kriteria yang disetujui dengan
para pemangku kepentingan. Setelah berhasil menyelesaikan tinjauan fungsionalitas, kinerja dan kualitas, dan sebelum menyelesaikan tahap kegiatan, MENDAPATKAN FORMULIR
PERSETUJUAN DAN TANDA TANDA PEMANGKU KEPENTINGAN DAN ESPONSOR PEMILIK BISNIS 3. Melakukan proses realisasi manfaat di seluruh program untuk memastikan
bahwa manfaat yang direncanakan selalu memiliki pemilik dan kemungkinan besar akan dicapai, dipertahankan, dan dioptimalkan. Pantau pengiriman manfaat dan laporkan terhadap
target kinerja di gerbang panggung atau iterasi dan rilis ulasan. Melakukan analisis akar penyebab penyimpangan dari rencana dan mengidentifikasi dan mengatasi tindakan perbaikan
yang diperlukan.
-ANAGESETIAPPROGRAMMEORPROYEKTOMEJADIKAN BAHWA PENGAMBILAN KEPUTUSAN DAN KEGIATAN PENGIRIMAN TERFOKUSKAN PADA NILAI DENGAN MENCAPAI MANFAAT BAGI USAHA
dan tujuan secara konsisten, menangani risiko dan mencapai persyaratan pemangku kepentingan.
untuk meningkatkan
realisasi manfaat
s"ENEFITRESULTSAND
komunikasi terkait
APO07.05 s2ESOURCEUTILISATION
catatan
s2ESOURCINGSHORTFALL
analisis
: MENGAKTIFKAN PROSES
BAI01.06 Kegiatan
-ONITORDAN KONTROL KINERJA KESELURUHAN PROGRAM DAN PROYEK DALAM PROGRAM TERMASUK KONTRIBUSI LEMBUT BISNIS DAN) 4
UNTUKPROYEKDAN LAPORAN TEPAT WAKTU LENGKAP DAN AKURATFASHION 2PELAPORAN MUNGKIN TERMASUK PENJADWALANPENDANAANFUNGSI KEPUASAN PENGGUNAINTERNAL
pengendalian dan penerimaan pertanggungjawaban.
2. Memantau dan mengendalikan kinerja terhadap strategi dan tujuan perusahaan dan TI, dan melaporkan kepada manajemen tentang perubahan perusahaan yang diterapkan, manfaat yang
direalisasikan terhadap rencana realisasi manfaat, dan kecukupan proses realisasi manfaat.
-ONITORANDCONTROL)4LAYANANASET DAN SUMBER DAYADIBUATORDIUBAHASAHASIL PROGRAM .OTEMPLEMENTASIDAN TANGGAL LAYANAN Laporkan kepada manajemen
tentang tingkat kinerja, penyampaian layanan yang berkelanjutan, dan kontribusi terhadap nilai.
4. Kelola kinerja program terhadap kriteria utama (misalnya, ruang lingkup, jadwal, kualitas, realisasi manfaat, biaya, risiko, kecepatan), mengidentifikasi penyimpangan dari
rencana dan mengambil tindakan perbaikan tepat waktu bila diperlukan.
6. Memperbarui portofolio TI operasional yang mencerminkan perubahan yang dihasilkan dari program dalam portofolio layanan, aset, atau sumber daya TI yang relevan.
7. Sesuai dengan kriteria tinjauan tahap-gerbang, rilis atau iterasi, lakukan tinjauan untuk melaporkan kemajuan program sehingga manajemen
DAPAT MEMBUATGO NO GOOR PENYESUAIAN KEPUTUSANDAN MENYETUJUI PENDANAAN LEBIH LANJUTUPTOTHEBERIKUTIPAHAM GATERELEASEORITERASI
BAI01.07 Memulai dan memulai proyek dalam suatu program. Dari Keterangan Keterangan Ke
0ROJECTSCOPESTATEMENTS Intern
Mendefinisikan dan mendokumentasikan sifat dan ruang lingkup
PROJECTTOCONFIRMANDDEVELOPAMONGSTAKEHOLDERS 0ROJECTDEFINISI Intern
Kegiatan
4 BUAT PEMAHAMAN UMUM RUANG LINGKUP PROYEK DIANTARA PEMEGANG PEMANGKU KEPENTINGAN MEMBERIKAN PEMEGANG PEMEGANG PEMEGANG SAKIT PERNYATAAN JELAS TERTULIS DEFINISI TENATUR
%NSURETHATEACHPROJECTHASONEORMORESPONSORSWOWTHORITYTOMANAGEEXECUTIONOFTHEPROJECT WITHHEOVERALLPROGRAMME
% PASTI KUNCI PEMEGANG PEMEGANG DAN SPONSOR DI DALAM ENTERPRISEAND)4 SETUJU DAN MENERIMA PERSYARATAN UNTUK PROYEK TERMASUK DEFINISI
PENERIMAAN KEBERHASILAN PROYEKKRITERIA DAN INDIKATOR KINERJA UTAMA +0)S%
7PERSETUJUAN PEMEGANG PASANG MEMPERTAHANKANDEFINISI PROYEK DI SELURUH PROYEK MENCERMINKAN PERUBAHAN PERSYARATAN
4OTRACKPElaksanaanOFAPROJECTPUTINPLACEMEKANISMESUCHASREGULERPELAPORANDANSTAGE GATERELEASEORPHASETINJAUANSINATIMELYMANNER
dengan persetujuan yang sesuai.
LIFEOFTHEPROJECT 4HESCOPEOFPROJECTSHARUS
0ROJECTREPORTS Intern
didefinisikan dengan jelas dan terikat untuk membangun atau
dan komunikasi
meningkatkan kemampuan bisnis.
Kegiatan
$EVELOPAPROJECTPLANTHATMENYEDIAKANINFORMASITOENABLEMANAGEMENTTOCONTROLPROJECTPROGRESSPROGRESSIVELY 4HEPLANSHULDINCLUDEDETAILSOF
PROYEK DILAKSANAKANDANDANPENERIMAANKRITERIADIBUTUHKAN SUMBERDAYA INTERNALANDEKSTERNALDAN TANGGUNG JAWABCLEARWORKBREAKDOWNSTRUKTURDANDWORK
PAKET PERKIRAANSOFRESOURCESDIPERLUKAN FASE RENCANA PELEPASAN KUNCIDEPENDENCIESDANIDENTIFIKASIPATH FAKRITIK
%NSURETADAKOMUNIKASI YANG EFEKTIFRENCANA PROYEKDAN LAPORAN KEMAJUAN DIANTARA SEMUA PROYEKDAN DENGAN KESELURUHAN PROGRAM %NSURETHE
setiap perubahan yang dibuat pada rencana individu tercermin dalam rencana lain.
5. Pastikan bahwa setiap pencapaian disertai dengan hasil yang signifikan yang membutuhkan tinjauan dan persetujuan.
Kegiatan
)DENTIFIKASI JAMINAN TUGAS DAN PRAKTEK YANG DIPERLUKAN UNTUK MENDUKUNG AKREDITASI SISTEM YANG DIMODIFIKASI BARU SELAMA PERENCANAAN
PROGRAM DAN PROYEK dan memasukkannya ke dalam rencana terpadu. Pastikan bahwa tugas memberikan jaminan bahwa kontrol internal dan solusi keamanan memenuhi
persyaratan yang ditentukan.
3. Tentukan persyaratan untuk validasi independen dan verifikasi kualitas kiriman dalam rencana.
4. Melakukan kegiatan penjaminan mutu dan pengendalian sesuai dengan rencana manajemen mutu dan SMM.
BAI01.10 Mengelola risiko program dan proyek. Dari Masukan Deskripsi Keterangan Ke
Menghilangkan atau meminimalkan risiko spesifik yang terkait
APO12.02 Hasil analisis risiko 0ROJECTRISK Intern
dengan PROGRAM DAN PROYEK MELALUI PROSES SISTEM
rencana pengelolaan
perencanaan, mengidentifikasi, menganalisis, menanggapi, dan
memantau dan mengendalikan area atau peristiwa yang berpotensi BAI02.03 TINDAKAN s2ISKMITIGASI 0ROJECTRISK Intern
menyebabkan perubahan yang tidak diinginkan. Risiko yang dihadapi s2EQUIREMENTRISK hasil penilaian
DENGAN PROGRAM DAN MANAJEMEN PROYEK HARUS daftar
ditetapkan dan dicatat secara terpusat.
Di luar kerangka kerja ERM COBIT 0ROJECT RESIKO REGISTER Intern
Kegiatan
5. Identifikasi pemilik untuk tindakan untuk menghindari, menerima atau mengurangi risiko.
: MENGAKTIFKAN PROSES
Kegiatan
1. Menetapkan dan menggunakan serangkaian kriteria proyek termasuk, namun tidak terbatas pada, ruang lingkup, jadwal, kualitas, biaya, dan tingkat risiko.
2. Mengukur kinerja proyek terhadap kriteria kinerja proyek utama. Menganalisis penyimpangan dari kriteria kinerja proyek utama yang ditetapkan untuk penyebabnya, dan menilai
efek positif dan negatif pada program dan proyek komponennya.
3. Melaporkan kepada pemangku kepentingan utama yang diidentifikasi kemajuan proyek dalam program, penyimpangan dari kriteria kinerja proyek utama yang ditetapkan, dan
potensi efek positif dan negatif pada program dan proyek komponennya.
4. Pantau perubahan pada program dan tinjau kriteria kinerja proyek utama yang ada untuk menentukan apakah mereka masih mewakili ukuran yang valid dari
kemajuan.
5. Dokumentasikan dan serahkan setiap perubahan yang diperlukan kepada pemangku kepentingan utama program untuk persetujuan mereka sebelum diadopsi. Komunikasikan kriteria yang direvisi
kepada manajer proyek untuk digunakan dalam laporan kinerja masa depan.
6. Merekomendasikan dan memantau tindakan perbaikan, bila diperlukan, sejalan dengan kerangka tata kelola program dan proyek.
7. Dapatkan persetujuan dan tanda tangani pada kiriman yang dihasilkan di setiap iterasi, rilis, atau fase proyek dari manajer dan pengguna yang ditunjuk dalam fungsi bisnis dan TI
yang terpengaruh.
8. Mendasarkan proses persetujuan pada kriteria penerimaan yang didefinisikan dengan jelas yang disepakati oleh pemangku kepentingan utama sebelum pekerjaan dimulai pada fase proyek atau
pengiriman iterasi.
9. Menilai proyek pada gerbang panggung utama yang disepakati, rilis atau iterasi dan membuat keputusan resmi untuk tidak digunakan berdasarkan pertimbangan kritis yang telah ditentukan sebelumnya
kriteria sukses.
10. Menetapkan dan mengoperasikan sistem kontrol perubahan untuk proyek sehingga semua perubahan pada baseline proyek (misalnya, biaya, jadwal, ruang lingkup, kualitas)
ditinjau, disetujui, dan dimasukkan dengan tepat ke dalam rencana proyek terpadu sejalan dengan kerangka kerja tata kelola program dan proyek.
Kegiatan
1. Identifikasi kebutuhan sumber daya bisnis dan TI untuk proyek dan dengan jelas memetakan peran dan tanggung jawab yang sesuai, dengan eskalasi dan pengambilan keputusan
pihak berwenang setuju dan mengerti.
2. Identifikasi keterampilan yang diperlukan dan persyaratan waktu untuk semua individu yang terlibat dalam fase proyek dalam kaitannya dengan peran yang ditentukan. Staf peran berdasarkan
informasi keterampilan yang tersedia (misalnya, matriks keterampilan TI).
3. Memanfaatkan sumber daya manajemen proyek dan pemimpin tim yang berpengalaman dengan keterampilan yang sesuai dengan ukuran, kompleksitas, dan risiko proyek.
4. Mempertimbangkan dan menetapkan dengan jelas peran dan tanggung jawab pihak-pihak lain yang terlibat, termasuk keuangan, hukum, pengadaan, SDM, audit internal dan
kepatuhan.
5. Jelas mendefinisikan dan menyetujui tanggung jawab untuk pengadaan dan pengelolaan produk dan layanan pihak ketiga, dan mengelola hubungan.
7. Identifikasi kesenjangan rencana proyek dan berikan umpan balik kepada manajer proyek untuk diperbaiki.
Kegiatan
0LANANDJELAKKAN SETELAH IMPLEMENTASITINJAUANSTODETERMINEAPAKAH PROYEKDIBERIKAN MANFAAT YANG DIHARAPKANDAN UNTUK MENINGKATKANPENGELOLAAN PROYEK
dan metodologi proses pengembangan sistem.
2 SECARA TERATUR DAN SETELAH PENYELESAIAN PROYEK KUMPULKAN DARI PESERTA PROYEKPELAJARANPELAJARAN 2PELAJARANPERMINTAANKUNCI AKTIVITAS YANG DILAKUKAN
DIBERIKANMANFAAT DAN NILAI !NALYSETHEDATADAN PEMBUATREKOMENDASIUNTUK MENINGKATKANPROYEK SAAT INIASWELLASMETODE PENGELOLAAN PROYEK
PROYEK MASA
DEPAN /BTAINSTAKEHOLDERPENERIMAANPROJECTDELIVERABLESANDTRANSFEROWNERSHIP
Kegiatan
1. Membawa program ke penutupan yang tertib, termasuk persetujuan formal, pembubaran organisasi program dan fungsi pendukung, validasi hasil, dan komunikasi pensiun.
2. Meninjau dan mendokumentasikan pelajaran yang didapat. Setelah program dihentikan, hapus dari portofolio investasi aktif.
3. Menerapkan akuntabilitas dan proses untuk memastikan bahwa perusahaan terus mengoptimalkan nilai dari layanan, aset, atau sumber daya. Tambahan
investasi mungkin diperlukan di masa depan untuk memastikan hal ini terjadi.
PMBOK
02).#%
: MENGAKTIFKAN PROSES
Area: Manajemen
BAI02 Kelola Persyaratan Definisi Proses Deskripsi Domain: Membangun, Memperoleh, dan Menerapkan
KEPUASAN PEMEGANG PEMANGKU KEPENTINGAN TERHADAP FOLIOF RUANG LINGKUP YANG DIRENCANAKAN
1. Persyaratan fungsional dan teknis bisnis mencerminkan kebutuhan dan harapan perusahaan. s0ERCENTOFREQUIREMENTSREWORKEDDUETOMISALIGNMENTDENGAN PERSYARATAN
kebutuhan dan harapan PERKEMBANGAN PEMEGANG PEMEGANG KEPUASAN TERHADAP
PERSYARATAN
2. Solusi yang diusulkan memenuhi persyaratan fungsional, teknis, dan kepatuhan bisnis. s0ERCENTOFREQUIREMENTSPUASYBYPROPOSEDSOLUTION
3. Risiko yang terkait dengan persyaratan telah diatasi dalam solusi yang diusulkan. s.UMBEROFINCIDENTSNOTIDENTIFIEDASRISK
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI02.02
Melakukan studi kelayakan RR AR CCCCRC CCCC
dan merumuskan alternatif solusi.
BAI02.03
RR AR R CCRRRR 300
Mengelola risiko persyaratan.
BAI02.04
Dapatkan persetujuan RR AR CCCCCC CCCC
persyaratan dan solusi.
s$ATACLASSIFICATION BAI05.01
PEMAHAMANFALLINITIATIVESREQUIREDTOACHIEVE
pedoman
hasil yang diharapkan dari solusi bisnis berkemampuan
TI yang diusulkan. APO03.01 Prinsip arsitektur Kriteria penerimaan yang BAI03.01
dikonfirmasi dari pemangku kepentingan BAI03.02
BAI04.03
BAI05.01
BAI05.02
APO03.05 Panduan
pengembangan solusi
APO10.02 RFI dan RFP pemasok
APO11.03 Kriteria penerimaan
BAI02.01 Kegiatan
1. Menetapkan dan menerapkan definisi persyaratan dan prosedur pemeliharaan dan repositori persyaratan yang sesuai dengan ukurannya
2. Mengungkapkan kebutuhan bisnis dalam hal bagaimana kesenjangan antara kemampuan bisnis saat ini dan yang diinginkan perlu ditangani dan bagaimana peran akan
berinteraksi dengan dan menggunakan solusi.
4 SETELAH ANALISIS PROYEKTELISITAN DAN KONFIRMASI BAHWA SEMUA PERSYARATAN PEMANGKU KEPENTINGAN TERMASUK RELEVANT PENERIMAAN KRITERIA
DIPERTIMBANGKAN DIPERTIMBANGKAN diprioritaskan dan dicatat dengan cara yang dapat dipahami oleh para pemangku kepentingan, sponsor bisnis, dan personel pelaksana teknis,
dengan menyadari bahwa persyaratan dapat berubah dan akan menjadi lebih rinci saat diimplementasikan.
4. Menentukan dan memprioritaskan informasi, persyaratan fungsional dan teknis berdasarkan persyaratan pemangku kepentingan yang dikonfirmasi. Sertakan persyaratan kontrol informasi
dalam proses bisnis, proses otomatis, dan lingkungan TI untuk mengatasi risiko informasi dan untuk mematuhi undang-undang, peraturan, dan kontrak komersial.
6. Konfirmasi penerimaan aspek kunci dari persyaratan, termasuk aturan perusahaan, kontrol informasi, kelangsungan bisnis, hukum dan peraturan
kepatuhan, kemampuan audit, ergonomi, pengoperasian dan kegunaan, keamanan, dan dokumentasi pendukung.
8. Pertimbangkan persyaratan yang berkaitan dengan kebijakan dan standar perusahaan, arsitektur perusahaan, rencana TI strategis dan taktis, proses bisnis dan TI internal dan outsourcing,
persyaratan keamanan, persyaratan peraturan, kompetensi orang, struktur organisasi, kasus bisnis, dan teknologi yang memungkinkan.
Melakukan studi kelayakan dan merumuskan alternatif solusi. Dari Keterangan Keterangan Ke
evaluasi pemasok
s2&)AND2&0EVALUASI
s3UPPLIER2&)PASIR2&0S
Kegiatan
1. Menentukan dan melaksanakan studi kelayakan, percontohan atau solusi kerja dasar yang secara jelas dan ringkas menggambarkan solusi alternatif yang akan memuaskan
kebutuhan bisnis dan fungsional. Sertakan evaluasi kelayakan teknologi dan ekonomi mereka.
)DENTIFYPERSYARATANTINDAKANFOLUSI AKUISISIATAU PENGEMBANGAN BERDASARKAN ENTERPRISEARCHITECTUREDAN MENGAMBIL KE DALAM AKUN CAKUPAN DAN ORTIMEAND ATAU
keterbatasan anggaran.
3. Tinjau solusi alternatif dengan semua pemangku kepentingan dan pilih yang paling tepat berdasarkan kriteria kelayakan, termasuk risiko dan biaya.
: MENGAKTIFKAN PROSES
Kegiatan
1. Libatkan pemangku kepentingan untuk membuat daftar potensi kualitas, fungsional, dan persyaratan teknis dan risiko yang terkait dengan pemrosesan informasi
(karena, misalnya, kurangnya keterlibatan pengguna, harapan yang tidak realistis, pengembang menambahkan fungsionalitas yang tidak perlu).
2. Menganalisis dan memprioritaskan risiko kebutuhan sesuai dengan probabilitas dan dampaknya. Jika berlaku, tentukan dampak anggaran dan jadwal.
3. Mengidentifikasi cara untuk mengendalikan, menghindari atau mengurangi risiko persyaratan dalam urutan prioritas.
Kegiatan
1. Pastikan bahwa sponsor bisnis atau pemilik produk membuat keputusan akhir sehubungan dengan pilihan solusi, pendekatan akuisisi, dan desain tingkat tinggi, sesuai dengan kasus
bisnis. Koordinasikan umpan balik dari pemangku kepentingan yang terkena dampak dan dapatkan persetujuan dari otoritas bisnis dan teknis yang sesuai (misalnya, pemilik proses
bisnis, arsitek perusahaan, manajer operasi, keamanan) untuk pendekatan yang diusulkan.
/BTAINQUALITYTINJAUAN MELALUIOUTANDATTHHEENDOFEACHKEYPROJECTSTAGEITERATIONORRELEASETOASSESDHERESULTSGAINSTHORIGINALPENERIMAAN
kriteria. Minta sponsor bisnis dan pemangku kepentingan lainnya menandatangani setiap tinjauan kualitas yang berhasil.
.SATU
Area: Manajemen
BAI03 Kelola Identifikasi dan Bangun Solusi Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
%STABLISHANDMAINTAINIDENTIFIKASISOLUSISINLINEWITHENTERPRISERPERSYARATAN PENUTUPDESAIN PENGEMBANGAN SUMBER PENGADAAN DAN BERMITRA DENGAN
PEMASOK VENDOR -ANAGECONFIGURATIONTESTPERSIAPAN PENGUJIAN PERSYARATANMANAJEMEN DAN PEMELIHARAANPROSES BISNISAPLIKASI
STRUKTUR DAN LAYANAN DATAIN INFORMASI
1. Desain solusi, termasuk komponen yang relevan, memenuhi kebutuhan perusahaan, s.UMBEROFREWORKEDSOLUTIONDESIGNSDUETOMISALIGNMENT
sejalan dengan standar dan menangani semua risiko yang teridentifikasi. dengan persyaratan
s4IMETAKENTOAPPROVETBAHWADESAINDAPAT DIKIRIMHASMETREQUIREMENT
2. Solusinya sesuai dengan desain, sesuai dengan standar organisasi, dan memiliki kontrol, s.UMBEROFSOLUTIONEXCEPTIONSTODESIGNNOTEDDURINGSTAGETINJAUAN
keamanan, dan kemampuan audit yang tepat.
3. Solusinya memiliki kualitas yang dapat diterima dan telah berhasil diuji. s.UMBEROFERRORSFOUNDDURINGTESTING
s4IMEANDEFFORTTOCOMPLETETES
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI03.02
Merancang komponen R DAN CC I CAC CCCC
solusi terperinci.
BAI03.03
R DAN CC I CAC CCCC
Mengembangkan komponen solusi.
BAI03.04
DAN Saya Saya CCA I RRRCCCC
Pengadaan komponen solusi.
BAI03.05
R DAN CC I CAC CCCC
Membangun solusi.
BAI03.06
DAN JIKA CC I CRC CCCC
Melakukan penjaminan mutu.
BAI03.07
R AI CC I RR RRRR
Mempersiapkan pengujian solusi.
BAI03.08
R AI Saya Saya Dalam RR I Saya Saya Saya
BAI03.11
Mendefinisikan layanan TI dan Saya Saya Saya Saya IRI CCCA I Saya
DEFINISI PERSYARATAN s2
gudang
Kegiatan
1. Menetapkan spesifikasi desain tingkat tinggi yang menerjemahkan solusi yang diusulkan ke dalam proses bisnis, layanan pendukung, aplikasi,
infrastruktur, dan repositori informasi yang mampu memenuhi persyaratan arsitektur bisnis dan perusahaan.
2. Libatkan pengguna yang memenuhi syarat dan berpengalaman serta spesialis TI dalam proses desain untuk memastikan bahwa desain memberikan solusi yang
secara optimal menggunakan kapabilitas TI yang diusulkan untuk meningkatkan proses bisnis.
!FTERQUALITYASSURANCEPERSETUJUANKIRIMDESAIN TINGKAT AKHIR TINGGIPANGGOTA PEMEGANG PROYEK DAN ESPONSOR BISNISPROCESSOWNERUNTUK PERSETUJUAN
BERDASARKAN ONCRITERIA YANG SETUJU
DEFINISI PERSYARATAN s2
gudang
BAI02.04 Mensponsori
persetujuan persyaratan
dan solusi yang diusulkan
: MENGAKTIFKAN PROSES
BAI03.02 Kegiatan
$ESIGNPROGRESSIVELYTHEBUSINESSPROCESSACTIVITIESANDWORKFLOWPERLU DIPERFORMEDINCONJUNCTIONDENGANNEWAPLICATIONSYSTEMTO
MEMENUHI TUJUAN ENTERPRISETERMASUK DESAINSIGNAKTIVITAS KONTROL MANUAL
2. Merancang langkah-langkah pemrosesan aplikasi, termasuk spesifikasi jenis transaksi dan aturan pemrosesan bisnis, kontrol otomatis, data DEFINISI BISNISOBJEK
PENGGUNAAN KASUS INTERFACES INTERFACEDESAINKENDALA DAN PERSYARATAN LAINNYA misal LISENSI STANDAR SYARAT DAN
INTERNASIONALISASI LOKALISASI
3. Mengklasifikasikan input dan output data menurut standar arsitektur enterprise. Tentukan desain pengumpulan data sumber, dokumentasikan data
input (terlepas dari sumbernya) dan validasi untuk memproses transaksi serta metode untuk validasi. Rancang keluaran yang teridentifikasi, termasuk sumber data.
$ESIGNSYSTEM SOLUTIONINTERFACETERMASUKANYAUTOMATEDDATAEXCHANGE
7. Merancang antarmuka antara pengguna dan aplikasi sistem sehingga mudah digunakan dan didokumentasikan sendiri.
#ONSIDERTHEIMPACTOFTHESOLUTION SNEEDFORINFRASTRUCTUREPERFORMANCEBEINGSENSITIFTOTHENUMBEROFCOMPUTINGASSETSBANDWIDTHINTENSITY
dan sensitivitas waktu informasi.
9. Secara proaktif mengevaluasi kelemahan desain (misalnya, inkonsistensi, kurangnya kejelasan, potensi kekurangan) sepanjang siklus hidup, mengidentifikasi perbaikan
bila diperlukan.
10. Memberikan kemampuan untuk mengaudit transaksi dan mengidentifikasi akar penyebab kesalahan pemrosesan.
Kegiatan
1. Mengembangkan proses bisnis, layanan pendukung, aplikasi dan infrastruktur, dan repositori informasi berdasarkan spesifikasi yang disepakati
dan kebutuhan bisnis, fungsional dan teknis.
2. Ketika penyedia pihak ketiga terlibat dalam pengembangan solusi, pastikan bahwa pemeliharaan, dukungan, standar pengembangan, dan lisensi
ditangani dan dipatuhi dalam kewajiban kontrak.
3. Melacak permintaan dan desain perubahan, tinjauan kinerja dan kualitas, memastikan partisipasi aktif dari semua pemangku kepentingan yang terkena dampak.
4. Dokumentasikan semua komponen solusi sesuai dengan standar yang ditentukan dan pertahankan kontrol versi atas semua komponen yang dikembangkan dan
dokumentasi terkait.
5. Menilai dampak penyesuaian dan konfigurasi solusi pada kinerja dan efisiensi solusi yang diperoleh dan pada interoperabilitas dengan aplikasi, sistem operasi, dan infrastruktur lainnya
yang ada. Menyesuaikan proses bisnis yang diperlukan untuk meningkatkan kemampuan aplikasi.
6. Pastikan bahwa tanggung jawab untuk menggunakan komponen infrastruktur dengan keamanan tinggi atau akses terbatas didefinisikan dan dipahami dengan jelas oleh mereka yang
mengembangkan dan mengintegrasikan komponen infrastruktur. Penggunaannya harus dipantau dan dievaluasi.
Kegiatan
1. Buat dan pertahankan rencana untuk akuisisi komponen solusi, dengan mempertimbangkan fleksibilitas di masa mendatang untuk penambahan kapasitas, biaya transisi, risiko, dan
UPGRADEOVERTHELIFETIMEOFTHEPROJECT
2. Meninjau dan menyetujui semua rencana akuisisi, dengan mempertimbangkan risiko, biaya, manfaat, dan kesesuaian teknis dengan standar arsitektur perusahaan.
3. Menilai dan mendokumentasikan sejauh mana solusi yang diperoleh memerlukan adaptasi proses bisnis untuk meningkatkan manfaat dari
solusi yang diperoleh.
4. Ikuti persetujuan yang diperlukan pada poin keputusan utama selama proses pengadaan.
5. Mencatat penerimaan semua infrastruktur dan akuisisi perangkat lunak dalam inventaris aset.
Kegiatan
1. Mengintegrasikan dan mengonfigurasi komponen solusi bisnis dan TI serta penyimpanan informasi sesuai dengan spesifikasi terperinci dan persyaratan kualitas.
Pertimbangkan peran pengguna, pemangku kepentingan bisnis, dan pemilik proses dalam konfigurasi proses bisnis.
2. Lengkapi dan perbarui proses bisnis dan manual operasional, jika perlu, untuk memperhitungkan penyesuaian atau kondisi khusus apa pun yang unik untuk
pelaksanaan.
3. Mempertimbangkan semua persyaratan kontrol informasi yang relevan dalam integrasi dan konfigurasi komponen solusi, termasuk penerapan kontrol bisnis, jika sesuai, ke dalam
kontrol aplikasi otomatis sehingga pemrosesan akurat, lengkap, tepat waktu, resmi, dan dapat diaudit.
4. Menerapkan jejak audit selama konfigurasi dan integrasi perangkat keras dan perangkat lunak infrastruktur untuk melindungi sumber daya dan memastikan ketersediaan
dan integritas.
6. Pastikan interoperabilitas komponen solusi dengan pengujian pendukung, lebih disukai otomatis.
7. Konfigurasi perangkat lunak aplikasi yang diperoleh untuk memenuhi persyaratan pemrosesan bisnis.
8. Tentukan katalog layanan untuk kelompok sasaran internal dan eksternal yang relevan berdasarkan kebutuhan bisnis.
kebijakan dan prosedur. BAI01.09 Rencana manajemen mutu Hasil tinjauan mutu, APO11.04
pengecualian dan koreksi
Kegiatan
1. Tetapkan rencana dan praktik QA termasuk, misalnya, spesifikasi kriteria kualitas, proses validasi dan verifikasi, definisi tentang bagaimana kualitas akan
ditinjau, kualifikasi yang diperlukan dari peninjau kualitas, dan peran dan tanggung jawab untuk pencapaian kualitas.
&REQUENTLYMONITORKUALITAS SOLUSIBERDASARKANPROJECTREQUIREMENTSENTERPRISEPOLICIESADHERENCETOPELOPMENTMETODOLOGIKUALITAS
prosedur manajemen dan kriteria penerimaan.
3. Mempekerjakan inspeksi kode, praktik pengembangan yang didorong oleh pengujian, pengujian otomatis, integrasi berkelanjutan, penelusuran dan pengujian aplikasi yang sesuai.
Melaporkan hasil proses pemantauan dan pengujian kepada tim pengembangan perangkat lunak aplikasi dan manajemen TI.
4. Memantau semua pengecualian kualitas dan menangani semua tindakan korektif. Menyimpan catatan semua ulasan, hasil, pengecualian, dan koreksi. Ulangi kualitas
ulasan, jika sesuai, berdasarkan jumlah pengerjaan ulang dan tindakan korektif.
Kegiatan
1. Buat rencana dan praktik pengujian terintegrasi yang sepadan dengan lingkungan perusahaan dan rencana teknologi strategis yang akan memungkinkan
pembuatan lingkungan pengujian dan simulasi yang sesuai untuk membantu memverifikasi bahwa solusi akan beroperasi dengan sukses di lingkungan hidup dan memberikan hasil yang
diinginkan dan kontrol yang memadai.
2. Buat lingkungan pengujian yang mendukung cakupan penuh dari solusi dan mencerminkan, sedekat mungkin, kondisi dunia nyata, termasuk bisnis
proses dan prosedur, jangkauan pengguna, jenis transaksi, dan kondisi penerapan.
3. Buat prosedur pengujian yang selaras dengan rencana dan praktik dan memungkinkan evaluasi pengoperasian solusi dalam kondisi dunia nyata. Pastikan bahwa prosedur pengujian
mengevaluasi kecukupan kontrol, berdasarkan standar seluruh perusahaan yang menentukan peran, tanggung jawab, dan kriteria pengujian.
: MENGAKTIFKAN PROSES
Kegiatan
1. Melakukan pengujian solusi dan komponennya sesuai dengan rencana pengujian. Sertakan penguji independen dari tim solusi, dengan pemilik proses bisnis yang representatif
dan pengguna akhir. Pastikan bahwa pengujian dilakukan hanya dalam lingkungan pengembangan dan pengujian.
2. Gunakan instruksi pengujian yang didefinisikan dengan jelas, sebagaimana didefinisikan dalam rencana pengujian, dan pertimbangkan keseimbangan yang tepat antara pengujian skrip otomatis dan
pengujian pengguna interaktif.
3. Melakukan semua pengujian sesuai dengan rencana dan praktik pengujian termasuk integrasi proses bisnis dan komponen solusi TI dan persyaratan non-fungsional (misalnya,
keamanan, interoperabilitas, kegunaan).
4. Identifikasi, catat, dan klasifikasikan (misalnya, kesalahan kecil, signifikan, dan kritis) selama pengujian. Ulangi tes sampai semua kesalahan yang signifikan telah diselesaikan.
Pastikan bahwa jejak audit hasil pengujian dipertahankan.
5. Mencatat hasil pengujian dan mengkomunikasikan hasil pengujian kepada pemangku kepentingan sesuai dengan rencana pengujian.
Kegiatan
1. Menilai dampak dari semua permintaan perubahan solusi pada pengembangan solusi, kasus bisnis asli dan anggaran, serta mengkategorikan dan
memprioritaskan mereka sesuai.
2. Melacak perubahan persyaratan, memungkinkan semua pemangku kepentingan untuk memantau, meninjau, dan menyetujui perubahan. Pastikan bahwa hasil perubahan
PROSES SEPENUHNYA DIPAHAMI DAN DISETUJUI OLEH SEMUA PEMEGANG PEMEGANG DAN ESPONSOR BISNIS PEMILIK PROSES !PLYCHANGER PERMINTAAN
Kegiatan
1. Mengembangkan dan melaksanakan rencana pemeliharaan komponen solusi yang mencakup tinjauan berkala terhadap kebutuhan bisnis dan operasional
persyaratan seperti manajemen patch, strategi peningkatan, risiko, penilaian kerentanan, dan persyaratan keamanan.
)PERISTIWA PERUBAHAN UTAMA, SOLUSI YANG ADA, HASIL PERUBAHAN SIGNIFIKAN, DESAIN DAN ORFUNGSIONALITAS DAN PROSES OR BISNIS, ikuti proses
pengembangan yang digunakan untuk sistem baru. Untuk pembaruan pemeliharaan, gunakan proses manajemen perubahan.
4. Pastikan bahwa pola dan volume aktivitas pemeliharaan dianalisis secara berkala untuk mengetahui tren abnormal yang menunjukkan kualitas yang mendasari atau
MASALAH KINERJA MANFAAT BIAYA JORUPGRADEORREPLACEMENTINLIEUOFMAINTENANCE 5. Untuk pembaruan pemeliharaan, gunakan proses manajemen
APO06.03 s"UDGETKOMUNIKASI
s)4ANGGARAN DAN RENCANA
Kegiatan
1. Mengusulkan definisi layanan TI yang baru atau yang diubah untuk memastikan bahwa layanan tersebut sesuai dengan tujuannya. Dokumentasikan definisi layanan yang diusulkan dalam
daftar portofolio layanan yang akan dikembangkan.
2. Mengusulkan opsi tingkat layanan baru atau yang diubah (waktu layanan, kepuasan pengguna, ketersediaan, kinerja, kapasitas, keamanan, kontinuitas, kepatuhan, dan
usability) untuk memastikan bahwa layanan TI layak untuk digunakan. Dokumentasikan opsi layanan yang diusulkan dalam portofolio.
3. Antarmuka dengan manajemen hubungan bisnis dan manajemen portofolio untuk menyetujui definisi layanan yang diusulkan dan opsi tingkat layanan.
4. Jika perubahan layanan termasuk dalam otoritas persetujuan yang disepakati, buat layanan TI baru atau yang diubah atau opsi tingkat layanan. Jika tidak, lulus layanan
perubahan ke manajemen portofolio untuk tinjauan investasi.
.SATU
: MENGAKTIFKAN PROSES
Area: Manajemen
BAI04 Kelola Ketersediaan dan Kapasitas Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
Seimbangkan kebutuhan saat ini dan masa depan untuk ketersediaan, kinerja, dan kapasitas dengan penyediaan layanan yang hemat biaya. Termasuk penilaian kemampuan saat ini,
peramalan kebutuhan masa depan berdasarkan kebutuhan bisnis, analisis dampak bisnis, dan penilaian risiko untuk merencanakan dan mengimplementasikan tindakan untuk memenuhi
persyaratan yang diidentifikasi.
11 Optimalisasi aset, sumber daya, dan kemampuan TI PENILAIAN KEMATIAN DAN KOSTOPTIMISASI KEMATIAN DAN PERMINTAAN
s4RENDOFASSESSMENTHASIL
s3TINGKAT KEPUASAN BISNISDAN)4EKSEKUTIF DENGAN)4 BIAYA TERKAIT
dan kemampuan
14 Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan s,KEMBANGKAN BISNIS KEPUASAN PENGGUNA DENGAN KUALITAS DAN KETEPATAN WAKTU
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI04.02
SEBUAH C CR RCC
Menilai dampak bisnis.
BAI04.03
Rencanakan persyaratan layanan baru R C CA RCC
atau yang diubah.
BAI04.04
Memantau dan meninjau ketersediaan R C CA RCC
dan kapasitas.
BAI04.05
Selidiki dan atasi masalah DAN Saya RCA RI Saya
1. Pertimbangkan hal berikut (saat ini dan yang diperkirakan) dalam penilaian ketersediaan, kinerja, dan kapasitas layanan dan sumber daya: pelanggan
PERSYARATANPRIORITAS USAHA TUJUAN USAHA ANGGARAN DAMPAK SUMBER DAMPAK PEMANFAATAN)4 KEMAMPUAN DAN TREN INDUSTRI
2. Pantau kinerja aktual dan penggunaan kapasitas terhadap ambang batas yang ditentukan, jika perlu didukung dengan perangkat lunak otomatis.
3. Mengidentifikasi dan menindaklanjuti semua insiden yang disebabkan oleh kinerja atau kapasitas yang tidak memadai.
4. Secara berkala mengevaluasi tingkat kinerja saat ini untuk semua tingkat pemrosesan (permintaan bisnis, kapasitas layanan, dan kapasitas sumber daya) dengan membandingkan
mereka terhadap tren dan SLA, dengan mempertimbangkan perubahan lingkungan.
Kegiatan
1. Identifikasi hanya solusi atau layanan yang penting dalam proses ketersediaan dan manajemen kapasitas.
2. Memetakan solusi atau layanan yang dipilih ke aplikasi dan infrastruktur (TI dan fasilitas) di mana mereka bergantung untuk memungkinkan fokus pada sumber daya penting
untuk perencanaan ketersediaan.
3. Kumpulkan data tentang pola ketersediaan dari log kegagalan masa lalu dan pemantauan kinerja. Gunakan alat pemodelan yang membantu memprediksi kegagalan berdasarkan masa lalu
tren penggunaan dan harapan manajemen lingkungan baru atau kondisi pengguna.
4. Buat skenario berdasarkan data yang dikumpulkan, yang menjelaskan situasi ketersediaan di masa depan untuk menggambarkan berbagai tingkat kapasitas potensial yang
diperlukan untuk MENCAPAI TUJUAN KINERJA $ETERMINETHELIKELIHOODTHEAVAILABILITYPERFORMANCEOBJECTIVEWILLNOTBEACHIEVEDBASEDONTHESCENARIOS
6. Tentukan dampak skenario pada ukuran kinerja bisnis (misalnya, pendapatan, laba, layanan pelanggan). Libatkan lini bisnis,
fungsional (terutama keuangan) dan pemimpin daerah untuk memahami evaluasi dampak mereka.
7. Pastikan bahwa pemilik proses bisnis sepenuhnya memahami dan menyetujui hasil analisis ini. Dari pemilik bisnis, dapatkan daftar
skenario risiko yang tidak dapat diterima yang memerlukan respons untuk mengurangi risiko ke tingkat yang dapat diterima.
Kegiatan
2. Mengidentifikasi implikasi ketersediaan dan kapasitas dari perubahan kebutuhan bisnis dan peluang peningkatan. Gunakan teknik pemodelan untuk memvalidasi ketersediaan,
kinerja, dan rencana kapasitas.
!SESUAIKAN KINERJA DAN RENCANA KAPASITASDAN3,!BERDASARKANREALISTISBARUDIUSULKAN DAN ATAU DIPROYEKSIPROSES BISNISDAN LAYANAN
PENDUKUNGAplikasi dan perubahan infrastruktur serta tinjauan kinerja aktual dan penggunaan kapasitas, termasuk tingkat beban kerja.
5. Memastikan bahwa manajemen melakukan perbandingan permintaan aktual pada sumber daya dengan penawaran dan permintaan yang diperkirakan untuk mengevaluasi peramalan saat ini
teknik dan melakukan perbaikan jika memungkinkan.
: MENGAKTIFKAN PROSES
Kegiatan
1. Menetapkan proses pengumpulan data untuk menyediakan manajemen dengan pemantauan dan pelaporan informasi untuk ketersediaan, kinerja, dan kapasitas beban kerja
semua sumber daya terkait informasi.
2. Memberikan pelaporan hasil secara teratur dalam bentuk yang sesuai untuk ditinjau oleh TI dan manajemen bisnis dan komunikasi untuk
manajemen perusahaan.
3. Mengintegrasikan kegiatan pemantauan dan pelaporan dalam kegiatan manajemen kapasitas berulang (pemantauan, analisis, penyetelan, dan implementasi).
Kegiatan
1. Dapatkan panduan dari manual produk vendor untuk memastikan tingkat ketersediaan kinerja yang sesuai untuk pemrosesan puncak dan beban kerja.
2. Mengidentifikasi kesenjangan kinerja dan kapasitas berdasarkan pemantauan kinerja saat ini dan yang diperkirakan. Gunakan ketersediaan, kontinuitas, dan pemulihan yang diketahui
spesifikasi untuk mengklasifikasikan sumber daya dan memungkinkan prioritas.
3. Tentukan tindakan korektif (misalnya, mengalihkan beban kerja, memprioritaskan tugas atau menambahkan sumber daya, ketika masalah kinerja dan kapasitas diidentifikasi).
4. Mengintegrasikan tindakan korektif yang diperlukan ke dalam proses perencanaan dan manajemen perubahan yang tepat.
5. Tetapkan prosedur eskalasi untuk penyelesaian cepat dalam kasus kapasitas darurat dan masalah kinerja.
Area: Manajemen
BAI05 Kelola Pengaktifan Perubahan Organisasi Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
Maksimalkan kemungkinan keberhasilan penerapan perubahan organisasi di seluruh perusahaan yang berkelanjutan dengan cepat dan dengan risiko yang lebih rendah, yang mencakup siklus hidup
lengkap perubahan dan semua pemangku kepentingan yang terpengaruh dalam bisnis dan TI.
08 Penggunaan aplikasi, informasi dan solusi teknologi yang memadai s0ERCENTOFBUSINESSPROCESSOWNERSPUAS DENGAN PENDUKUNG)4PRODUK
dan layanan
s,PERKEMBANGAN BISNIS PENGGUNAPENGERTIAN BAGAIMANA TEKNOLOGISOLUSI
mendukung proses mereka
s3TINGKAT KEPUASAN BISNIS PENGGUNA DENGAN PELATIHAN DAN PANDUAN PENGGUNA
13 Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, dan s.UMBEROFPROGRAMMES PROJECTSONTIMEANDWITHINBUDGET
memenuhi persyaratan dan standar kualitas s0ERCENTOFSTAKEHOLDERSPUAS DENGAN PROGRAMKUALITAS PROYEK
s.UMBEROFPROGRAMMENETINGINGSIGNIFIKANKEKERJAAN DUETTOKUALITASCACAT
s#OSTOFAPPLICATIONMAINTENANCEVS KESELURUHAN)4BIAYA
s.UMBEROFAPPROVEDINIATIVESHASILFROMINNOVATIVE)4IDEAS
2. Tim pelaksana kompeten dan mampu mendorong perubahan. s3PERINGKAT KEPUASANSOFIMPLEMENTASITEAMBYPEMIMPUK YANG TERPENGARUH
s.UMBEROFIDENTIFIEDSKILLSORKAPASITAS MASALAH
3. Perubahan yang diinginkan dipahami dan diterima oleh pemangku kepentingan. s3TAKEHOLDERFEEDBACKONLEVELOFUNDERSTAND
s.UMBEROFQUERIES DITERIMA
4. Para pemain peran diberdayakan untuk menyampaikan perubahan. s0ERCENTOFROLEPLAYERS DENGAN OTORITAS YANG TEPAT DITUNJUKKAN
s2OLEPLAYERFEEDBACKONLEVELOFEMPOWERMENT
5. Pemain peran diaktifkan untuk mengoperasikan, menggunakan, dan memelihara perubahan. s0ERCENTOFROLEPLAYERSLATIHAN
s2OLEPLAYERSELF PENILAIAN KEMAMPUAN FRELEVANT
s,KEMBANGKAN KEPUASANPEMAIN FROLEPLAYEROPERASI MENGGUNAKAN DAN MEMELIHARA
perubahan
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI05.02
Membentuk tim Saya Saya CACCRR CCCR RCCCCCC
implementasi yang efektif.
BAI05.03
ACCR IRI Saya Saya Saya Saya IR IIIIIIIII
Mengkomunikasikan visi yang diinginkan.
BAI05.04
BAI05.05
MOBIL R RCRR RRRR
Mengaktifkan operasi dan penggunaan.
BAI05.06
RRRAR R RCRR RRRR
Menyematkan pendekatan baru.
BAI05.07
RRRR R RCRR RRRR
Mempertahankan perubahan.
Kegiatan
1. Menilai ruang lingkup dan dampak perubahan yang dibayangkan, berbagai pemangku kepentingan yang terpengaruh, sifat dampak dan keterlibatan
diperlukan dari setiap kelompok pemangku kepentingan, serta kesiapan dan kemampuan saat ini untuk mengadopsi perubahan.
2. Mengidentifikasi, memanfaatkan, dan mengomunikasikan poin nyeri saat ini, peristiwa negatif, risiko, ketidakpuasan pelanggan, dan masalah bisnis, serta awal
manfaat, peluang dan penghargaan di masa depan, dan keunggulan pesaing, sebagai landasan untuk membangun keinginan untuk berubah.
3. Keluarkan komunikasi kunci dari komite eksekutif atau CEO untuk menunjukkan komitmen terhadap perubahan.
4. Memberikan kepemimpinan yang terlihat dari manajemen senior untuk menetapkan arah dan menyelaraskan, memotivasi dan menginspirasi pemangku kepentingan untuk menginginkan perubahan.
Kegiatan
1. Identifikasi dan kumpulkan tim implementasi inti yang efektif yang mencakup anggota yang tepat dari bisnis dan TI dengan kapasitas untuk menghabiskan jumlah waktu yang diperlukan
dan menyumbangkan pengetahuan dan keahlian, pengalaman, kredibilitas, dan otoritas. Pertimbangkan untuk menyertakan pihak eksternal seperti konsultan untuk memberikan
pandangan independen atau untuk mengatasi kesenjangan keterampilan. Identifikasi agen perubahan potensial dalam berbagai bagian perusahaan dengan siapa tim inti dapat bekerja
untuk mendukung visi dan membuat perubahan kaskade ke bawah.
2. Ciptakan kepercayaan dalam tim implementasi inti melalui acara yang direncanakan dengan cermat dengan komunikasi yang efektif dan kegiatan bersama.
Kegiatan
1. Kembangkan rencana komunikasi visi untuk menangani kelompok audiens inti, profil perilaku dan persyaratan informasi mereka, komunikasi
saluran, dan prinsip.
2. Menyampaikan komunikasi pada tingkat yang sesuai dari perusahaan sesuai dengan rencana.
4. Periksa pemahaman visi yang diinginkan dan tanggapi setiap masalah yang disorot oleh staf.
Kegiatan
1. Identifikasi struktur organisasi yang sesuai dengan visi; jika diperlukan, buat perubahan untuk memastikan keselarasan.
2. Rencanakan kebutuhan staf pelatihan untuk mengembangkan keterampilan dan sikap yang tepat agar merasa diberdayakan.
3. Menyelaraskan proses SDM dan sistem pengukuran (misalnya, evaluasi kinerja, keputusan kompensasi, keputusan promosi, perekrutan dan perekrutan)
untuk mendukung visi.
4. Identifikasi dan kelola pemimpin yang terus menolak perubahan yang diperlukan.
5. Identifikasi, prioritaskan, dan berikan peluang untuk kemenangan cepat. Ini bisa terkait dengan area kesulitan yang diketahui saat ini atau faktor eksternal yang perlu:
segera diatasi.
6. Leverage memberikan kemenangan cepat dengan mengomunikasikan manfaat kepada mereka yang terkena dampak untuk menunjukkan bahwa visi berada di jalur yang benar. Sempurnakan visi, pertahankan pemimpin
papan dan membangun momentum.
: MENGAKTIFKAN PROSES
Kegiatan
1. Kembangkan rencana untuk pengoperasian dan penggunaan perubahan yang mengomunikasikan dan dibangun di atas realisasi kemenangan cepat, membahas aspek perilaku dan
budaya dari transisi yang lebih luas, dan meningkatkan dukungan dan keterlibatan. Pastikan bahwa rencana tersebut mencakup pandangan holistik dari perubahan dan menyediakan
dokumentasi (misalnya, prosedur), pendampingan, pelatihan, pembinaan, transfer pengetahuan, dukungan pasca-go-live yang ditingkatkan dan dukungan berkelanjutan.
2. Melaksanakan rencana operasi dan penggunaan. Tetapkan dan lacak ukuran keberhasilan, termasuk ukuran bisnis keras dan ukuran persepsi yang menunjukkan bagaimana perasaan
orang tentang perubahan, mengambil tindakan perbaikan seperlunya.
Kegiatan
1. Rayakan keberhasilan dan terapkan program penghargaan dan pengakuan untuk memperkuat perubahan.
2. Gunakan sistem pengukuran kinerja untuk mengidentifikasi akar penyebab rendahnya adopsi dan mengambil tindakan korektif.
4. Lakukan audit kepatuhan untuk mengidentifikasi akar penyebab rendahnya adopsi dan merekomendasikan tindakan korektif.
5. Memberikan kesadaran berkelanjutan melalui komunikasi reguler tentang perubahan dan adopsinya.
Kegiatan
1. Memberikan pendampingan, pelatihan, pembinaan dan transfer pengetahuan kepada staf baru untuk mempertahankan perubahan.
2. Mempertahankan dan memperkuat perubahan melalui komunikasi reguler yang menunjukkan komitmen manajemen puncak.
3. Melakukan tinjauan berkala terhadap operasi dan penggunaan perubahan dan mengidentifikasi perbaikan.
4. Menangkap pelajaran yang dipetik terkait dengan implementasi perubahan dan berbagi pengetahuan di seluruh perusahaan.
Kotter, John; Perubahan Terkemuka, Harvard Business School Press, AS, 1996
Area: Manajemen
BAI06 Kelola Perubahan Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
Kelola semua perubahan secara terkendali, termasuk perubahan standar dan pemeliharaan darurat yang berkaitan dengan proses bisnis, aplikasi, dan infrastruktur. Ini termasuk
standar dan prosedur perubahan, penilaian dampak, prioritas dan otorisasi, perubahan darurat, pelacakan, pelaporan, penutupan dan dokumentasi.
Dapatkan,
Implemen
Bangun,
dan 10 Keamanan informasi, infrastruktur pemrosesan dan aplikasi
1. Perubahan resmi dilakukan tepat waktu dan dengan s!MOUNTOFREWORK DISEBABKAN OLEH PERUBAHAN GAGAL
kesalahan minimal. s2EDUCEDTIMEANDUPFORTDIBUTUHKAN UNTUK MEMBUAT PERUBAHAN
s.UMBERANDAGEOFBACKLOGGEDCHANGEREQUESTS
2. Penilaian dampak mengungkapkan efek perubahan pada semua s0ERCENTOFUNSUKSESPERUBAHANSDUETOIMPAKAKSESIMPAK YANG CUKUP
komponen yang terpengaruh.
4. Pemangku kepentingan utama tetap mendapat informasi tentang semua aspek perubahan. s3TAKEHOLDERFEEDBACKRATINGSONKEPUASAN DENGAN KOMUNIKASI
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI06.01
BAI06.02
AI C CCR I RR IC
Kelola perubahan darurat.
BAI06.03
CR C A RR R
Melacak dan melaporkan status perubahan.
BAI06.04
Tutup dan DENGAN R C CCRCRR Saya Saya
dokumentasikan perubahan.
: MENGAKTIFKAN PROSES
Kegiatan
1. Gunakan permintaan perubahan formal untuk memungkinkan pemilik proses bisnis dan TI untuk meminta perubahan pada proses bisnis, infrastruktur, sistem atau
aplikasi. Pastikan bahwa semua perubahan tersebut hanya muncul melalui proses manajemen permintaan perubahan.
3. Prioritaskan semua perubahan yang diminta berdasarkan persyaratan bisnis dan teknis, sumber daya yang diperlukan, dan alasan hukum, peraturan, dan kontraktual untuk
perubahan yang diminta.
4. Merencanakan dan mengevaluasi semua permintaan secara terstruktur. Sertakan analisis dampak pada proses bisnis, infrastruktur, sistem dan aplikasi,
rencana kelangsungan bisnis (BCP) dan penyedia layanan untuk memastikan bahwa semua komponen yang terpengaruh telah diidentifikasi. Menilai kemungkinan dampak negatif
terhadap lingkungan operasional dan risiko penerapan perubahan. Pertimbangkan implikasi keamanan, hukum, kontrak dan kepatuhan dari perubahan yang diminta. Pertimbangkan juga
saling ketergantungan di antara perubahan. Libatkan pemilik proses bisnis dalam proses penilaian, sebagaimana mestinya.
5. Secara resmi menyetujui setiap perubahan oleh pemilik proses bisnis, manajer layanan, dan pemangku kepentingan teknis TI, sebagaimana mestinya. Perubahan yang
berisiko rendah dan relatif sering harus disetujui sebelumnya sebagai perubahan standar.
7. Pertimbangkan dampak penyedia layanan yang dikontrak (misalnya, pemrosesan bisnis yang dialihdayakan, infrastruktur, pengembangan aplikasi, dan layanan bersama) pada
proses manajemen perubahan, termasuk integrasi proses manajemen perubahan organisasi dengan proses manajemen perubahan penyedia layanan dan dampaknya terhadap
kontrak syarat dan SLA.
Kegiatan
1. Pastikan bahwa ada prosedur terdokumentasi untuk menyatakan, menilai, memberikan persetujuan awal, mengesahkan setelah perubahan dan mencatat perubahan darurat.
3. Memantau semua perubahan darurat, dan melakukan tinjauan pasca implementasi yang melibatkan semua pihak terkait. Tinjauan harus mempertimbangkan dan memulai tindakan
korektif berdasarkan akar penyebab seperti masalah dengan proses bisnis, pengembangan dan pemeliharaan sistem aplikasi, lingkungan pengembangan dan pengujian, dokumentasi
dan manual, dan integritas data.
Kegiatan
#ATEGORISECHANGEREQUESTSINTHETRACKINGPROCESS EG REJECTEDAPPROVEDBUTNOTYETINITIATEDDISETUJUDANDINPROCESSANDCLOSED
2. Terapkan laporan status perubahan dengan metrik kinerja untuk memungkinkan tinjauan manajemen dan pemantauan status rinci perubahan dan keadaan keseluruhan (misalnya, analisis
usia permintaan perubahan). Pastikan bahwa laporan status membentuk jejak audit sehingga perubahan selanjutnya dapat dilacak dari awal hingga disposisi akhirnya.
3. Pantau perubahan terbuka untuk memastikan bahwa semua perubahan yang disetujui ditutup tepat waktu, tergantung pada prioritas.
Kegiatan
1. Menyertakan perubahan pada dokumentasi (misalnya, prosedur operasional bisnis dan TI, kelangsungan bisnis, dan dokumentasi pemulihan bencana,
informasi konfigurasi, dokumentasi aplikasi, layar bantuan, dan materi pelatihan) dalam prosedur manajemen perubahan sebagai bagian integral dari perubahan.
2. Tentukan periode penyimpanan yang tepat untuk dokumentasi perubahan dan sistem sebelum dan sesudah perubahan dan dokumentasi pengguna.
3UBJECTDOKUMENTASITOTHESAMELEVELOFREVIEWASTPERUBAHAN SEBENARNYA
: MENGAKTIFKAN PROSES
Area: Manajemen
BAI07 Kelola Perubahan Penerimaan dan Proses Transisi Deskripsi Domain: Membangun, Memperoleh, dan Menerapkan
08 Penggunaan aplikasi, informasi dan solusi teknologi yang memadai s0ERCENTOFBUSINESSPROCESSOWNERSPUAS DENGAN PENDUKUNG)4PRODUK
dan layanan
1. Pengujian penerimaan memenuhi persetujuan pemangku kepentingan dan mempertimbangkan s0ERCENTOFSTAKEHOLDERSPUAS DENGAN KELENGKAPAN proses
semua aspek implementasi dan rencana konversi. pengujian
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI07.02
Merencanakan proses bisnis, CR DAN R CCRCRC RRRC
sistem dan konversi data.
BAI07.03
AR RI CI RR I RRC
Rencanakan tes penerimaan.
BAI07.04
AR RI Saya RR Saya RRC
Membangun lingkungan pengujian.
BAI07.05
AR RI Saya RR Saya RRC
Lakukan tes penerimaan.
BAI07.06
Mempromosikan produksi R AI saya RR RI Saya Saya
BAI07.08
Implementasikan
Dapatkan,
Bangun,
dan
implementasi.
untuk perubahan
Kegiatan
1. Buat rencana implementasi yang mencerminkan strategi implementasi secara luas, urutan langkah implementasi, kebutuhan sumber daya,
saling ketergantungan, kriteria penerimaan manajemen dari implementasi produksi, persyaratan verifikasi instalasi, strategi transisi untuk
dukungan produksi, dan pembaruan BCP.
2. Konfirmasikan bahwa semua rencana implementasi disetujui oleh pemangku kepentingan teknis dan bisnis dan ditinjau oleh audit internal, sebagaimana mestinya.
3. Mendapatkan komitmen dari penyedia solusi eksternal untuk keterlibatan mereka dalam setiap langkah implementasi.
5. Secara formal meninjau risiko teknis dan bisnis yang terkait dengan implementasi dan memastikan bahwa risiko utama dipertimbangkan dan ditangani dalam
proses perencanaan.
Kegiatan
1. Tentukan proses bisnis, TI: data layanan dan rencana migrasi infrastruktur. Pertimbangkan, misalnya, perangkat keras, jaringan, sistem operasi, perangkat lunak, data transaksi, file induk,
cadangan dan arsip, antarmuka dengan sistem lain (baik internal maupun eksternal), persyaratan kepatuhan yang mungkin, prosedur bisnis, dan dokumentasi sistem, dalam pengembangan
rencana.
3. Memasukkan dalam metode rencana konversi data untuk mengumpulkan, mengubah dan memverifikasi data yang akan dikonversi, dan mengidentifikasi dan menyelesaikan kesalahan apa pun
ditemukan selama konversi. Sertakan membandingkan data asli dan yang dikonversi untuk kelengkapan dan integritas.
4. Konfirmasikan bahwa rencana konversi data tidak memerlukan perubahan nilai data kecuali benar-benar diperlukan untuk alasan bisnis. Perubahan dokumen
dibuat untuk nilai data, dan mendapatkan persetujuan dari pemilik data proses bisnis.
6. Mempertimbangkan risiko masalah konversi, perencanaan kesinambungan bisnis, dan prosedur fallback dalam proses bisnis, data dan infrastruktur RENCANA MIGRASI DIMANA
MANAJEMEN RISIKO KEBUTUHAN BISNISOR KEPATUHAN REGULASI PERSYARATAN
7. Mengkoordinasikan dan memverifikasi waktu dan kelengkapan peralihan konversi sehingga ada transisi yang lancar dan berkelanjutan tanpa kehilangan transaksi
data. Bila perlu, jika tidak ada alternatif lain, bekukan operasi langsung.
8. Rencanakan untuk mencadangkan semua sistem dan data yang diambil pada titik sebelum konversi. Pertahankan jejak audit untuk memungkinkan konversi dilacak kembali dan memastikan
bahwa ada rencana pemulihan yang mencakup rollback migrasi dan fallback ke pemrosesan sebelumnya jika migrasi gagal.
9. Rencanakan penyimpanan data cadangan dan arsip agar sesuai dengan kebutuhan bisnis dan persyaratan peraturan atau kepatuhan.
BAI03.08 s4ESTRESULT
komunikasi
s4ESTRESULTLOGSAND
jejak audit
Kegiatan
$EVELOPANDDOCUMENTTHETESTPLANWHICHALIGNSTOTHEPROGRAMMEANDPROJECTQUALITYPLANANDRELEVANTORGANISATIONALSTANDAR #OMMUNICATEAND
berkonsultasi dengan pemilik proses bisnis yang sesuai dan pemangku kepentingan TI.
3. Pastikan bahwa rencana pengujian membahas kebutuhan potensial untuk akreditasi internal atau eksternal dari hasil proses pengujian (misalnya, keuangan
persyaratan peraturan).
4. Pastikan bahwa rencana pengujian mengidentifikasi sumber daya yang diperlukan untuk melaksanakan pengujian dan mengevaluasi hasilnya. Contoh sumber daya termasuk konstruksi
lingkungan pengujian dan penggunaan waktu staf untuk kelompok pengujian, termasuk potensi penggantian sementara staf pengujian di lingkungan produksi atau pengembangan. Pastikan
bahwa pemangku kepentingan dikonsultasikan tentang implikasi sumber daya dari rencana pengujian.
5. Pastikan bahwa rencana pengujian mengidentifikasi fase pengujian yang sesuai dengan persyaratan operasional dan lingkungan. Contoh fase pengujian tersebut meliputi pengujian unit,
pengujian sistem, pengujian integrasi, pengujian penerimaan pengguna, pengujian kinerja, pengujian stres, pengujian konversi data, pengujian keamanan, pengujian kesiapan operasional,
serta pengujian cadangan dan pemulihan.
6. Konfirmasikan bahwa rencana pengujian mempertimbangkan persiapan pengujian (termasuk persiapan lokasi), persyaratan pelatihan, pemasangan, atau pembaruan pengujian yang
ditentukan. PERENCANAAN LINGKUNGAN MELAKUKAN DOKUMENTING RETAININGTESTCASESERRORANDMASALAH PENANGANANKOREKSIANDESKALASIDAN
PERSETUJUAN FORMAL 7. Pastikan bahwa rencana pengujian menetapkan kriteria yang jelas untuk mengukur keberhasilan melakukan setiap fase pengujian . Konsultasikan dengan pemilik
proses bisnis dan pemangku kepentingan TI dalam menentukan kriteria keberhasilan. Tentukan bahwa rencana tersebut menetapkan prosedur remediasi ketika kriteria keberhasilan tidak
terpenuhi (misalnya, dalam kasus kegagalan yang signifikan dalam fase pengujian, rencana tersebut memberikan panduan tentang apakah akan melanjutkan ke fase berikutnya, menghentikan
pengujian atau menunda implementasi).
8. Konfirmasikan bahwa semua rencana pengujian disetujui oleh pemangku kepentingan, termasuk pemilik proses bisnis dan TI, sebagaimana mestinya. Contoh pemangku kepentingan tersebut adalah
PENGEMBANGAN APLIKASIMANAJEMEN PROYEKMANAGERDANPROSES BISNISENDUSER
: MENGAKTIFKAN PROSES
Kegiatan
1. Buat database data uji yang mewakili lingkungan produksi. Sanitasi data yang digunakan dalam lingkungan pengujian dari lingkungan produksi sesuai dengan kebutuhan bisnis dan
standar organisasi (misalnya, pertimbangkan apakah kepatuhan atau persyaratan peraturan mewajibkan penggunaan data yang disanitasi).
2. Lindungi data dan hasil pengujian yang sensitif terhadap pengungkapan, termasuk akses, penyimpanan, penyimpanan, dan penghancuran. Pertimbangkan efek interaksi
sistem organisasi dengan pihak ketiga.
3. Menerapkan proses untuk memungkinkan penyimpanan atau pembuangan hasil pengujian, media, dan dokumentasi terkait lainnya dengan benar untuk memungkinkan peninjauan yang memadai
dan analisis selanjutnya seperti yang dipersyaratkan oleh rencana pengujian. Pertimbangkan pengaruh persyaratan peraturan atau kepatuhan.
4. Pastikan bahwa lingkungan pengujian mewakili lanskap bisnis dan operasional masa depan, termasuk prosedur dan peran proses bisnis, kemungkinan tekanan beban kerja,
sistem operasi, perangkat lunak aplikasi yang diperlukan, sistem manajemen basis data, dan infrastruktur jaringan dan komputasi yang ditemukan di lingkungan produksi.
5. Pastikan bahwa lingkungan pengujian aman dan tidak dapat berinteraksi dengan sistem produksi.
Kegiatan
1. Tinjau log kategori kesalahan yang ditemukan dalam proses pengujian oleh tim pengembangan, verifikasi bahwa semua kesalahan telah diperbaiki atau
diterima secara formal.
2. Mengevaluasi penerimaan akhir terhadap kriteria keberhasilan dan menginterpretasikan hasil pengujian penerimaan akhir. Sajikan dalam bentuk yang
dimengerti oleh pemilik proses bisnis dan TI sehingga tinjauan dan evaluasi yang terinformasi dapat dilakukan.
3. Menyetujui penerimaan dengan persetujuan formal oleh pemilik proses bisnis, pihak ketiga (sebagaimana sesuai) dan pemangku kepentingan TI sebelum
promosi ke produksi.
4. Pastikan bahwa pengujian perubahan dilakukan sesuai dengan rencana pengujian. Pastikan bahwa pengujian dirancang dan dilakukan oleh kelompok pengujian yang independen dari
tim pengembangan. Pertimbangkan sejauh mana pemilik proses bisnis dan pengguna akhir terlibat dalam grup uji. Pastikan bahwa pengujian dilakukan hanya dalam lingkungan
pengujian.
5. Pastikan bahwa tes dan hasil yang diantisipasi sesuai dengan kriteria keberhasilan yang ditetapkan dalam rencana pengujian.
6. Pertimbangkan untuk menggunakan instruksi pengujian (skrip) yang jelas untuk mengimplementasikan pengujian. Pastikan bahwa kelompok pengujian independen menilai dan menyetujui setiap skrip
pengujian untuk memastikan bahwa skrip tersebut memenuhi kriteria keberhasilan pengujian yang ditetapkan dalam rencana pengujian. Pertimbangkan untuk menggunakan skrip untuk memverifikasi
sejauh mana sistem memenuhi persyaratan keamanan.
7. Pertimbangkan keseimbangan yang tepat antara pengujian skrip otomatis dan pengujian pengguna interaktif.
8. Melakukan pengujian keamanan sesuai dengan rencana pengujian. Mengukur sejauh mana kelemahan atau celah keamanan. Pertimbangkan efek insiden keamanan sejak konstruksi
rencana pengujian. Pertimbangkan efeknya pada akses dan kontrol batas.
9. Melakukan pengujian kinerja sistem dan aplikasi sesuai dengan rencana pengujian. Pertimbangkan berbagai metrik kinerja (misalnya, waktu respons pengguna akhir dan kinerja
pembaruan sistem manajemen basis data).
10. Saat melakukan pengujian, pastikan bahwa elemen fallback dan rollback dari rencana pengujian telah diatasi.
11. Mengidentifikasi, mencatat dan mengklasifikasikan (misalnya, minor, signifikan, mission-critical) kesalahan selama pengujian. Pastikan bahwa jejak audit dari hasil pengujian tersedia.
Mengkomunikasikan hasil pengujian kepada pemangku kepentingan sesuai dengan rencana pengujian untuk memfasilitasi perbaikan bug dan peningkatan kualitas lebih lanjut.
Kegiatan
1. Mempersiapkan transfer prosedur bisnis dan layanan pendukung, aplikasi dan infrastruktur dari pengujian ke lingkungan produksi di
sesuai dengan standar manajemen perubahan organisasi.
2. Menentukan sejauh mana implementasi percontohan atau pemrosesan paralel sistem lama dan baru sejalan dengan rencana implementasi.
3. Segera perbarui proses bisnis yang relevan dan dokumentasi sistem, informasi konfigurasi dan dokumen rencana kontinjensi, sebagaimana mestinya.
4. Pastikan semua perpustakaan media diperbarui segera dengan versi komponen solusi yang ditransfer dari pengujian ke produksi
lingkungan. Arsipkan versi yang ada dan dokumentasi pendukungnya. Pastikan bahwa promosi ke produksi sistem, perangkat lunak aplikasi, dan infrastruktur berada di bawah
kendali konfigurasi.
5. Dimana distribusi komponen solusi dilakukan secara elektronik, kontrol distribusi otomatis untuk memastikan bahwa pengguna diberitahu dan distribusi hanya terjadi ke tujuan
yang berwenang dan diidentifikasi dengan benar. Sertakan dalam prosedur backout proses rilis untuk memungkinkan distribusi perubahan ditinjau jika terjadi malfungsi atau
kesalahan.
6. Di mana distribusi mengambil bentuk fisik, buat catatan formal tentang item apa yang telah didistribusikan, kepada siapa, di mana telah diterapkan, dan
ketika masing-masing telah diperbarui.
Kegiatan
1. Sediakan sumber daya tambahan, sebagaimana diperlukan, kepada pengguna akhir dan personel pendukung hingga rilis stabil.
2. Menyediakan sumber daya sistem TI tambahan, sesuai kebutuhan, hingga rilis berada dalam lingkungan operasional yang stabil.
: MENGAKTIFKAN PROSES
Kegiatan
1. Menetapkan prosedur untuk memastikan bahwa tinjauan pasca-implementasi mengidentifikasi, menilai dan melaporkan sejauh mana:
s%NTERPRISEREQUIREMENTSHAVEBEENMET
s%XPECTEDMANFAATTELAH DIREALISASI
s4HESYSTEMIDIPERTIMBANGKAN DAPAT
DIGUNAKAN
s)NTERNALANDEXTERNALSTAKEHOLDEREXPECTATIONSAREMET
s5NEXPECTEDIMPACTSPROCESSANDREITAGESPROCESSANDREITAGESPERIBUTANPERKEMBANGANHAVEOCCURATION
2. Konsultasikan dengan pemilik proses bisnis dan manajemen teknis TI dalam pemilihan metrik untuk pengukuran keberhasilan dan pencapaian
persyaratan dan manfaat.
3. Melakukan review pasca implementasi sesuai dengan proses manajemen perubahan organisasi. Libatkan pemilik proses bisnis dan
pihak ketiga, sebagaimana mestinya.
4. Pertimbangkan persyaratan untuk tinjauan pasca implementasi yang timbul dari bisnis luar dan TI (misalnya, audit internal, ERM, kepatuhan).
5. Menyetujui dan menerapkan rencana aksi untuk mengatasi masalah yang diidentifikasi dalam tinjauan pasca-implementasi. Libatkan pemilik proses bisnis dan manajemen teknis
TI dalam pengembangan rencana aksi.
)4),6 s 4RANSISI0LANNINGDAN3DUKUNGAN
s 2ELEASEAND$EPLOYMENT
s
3ERVICE6ALIDATIONAND4ESTING
s %PENILAIAN
Area: Manajemen
BAI08 Kelola Deskripsi Proses Domain: Membangun, Memperoleh, dan Menerapkan
Pengetahuan
Menjaga ketersediaan pengetahuan yang relevan, terkini, tervalidasi, dan andal untuk mendukung semua aktivitas proses dan untuk memfasilitasi pengambilan keputusan. Merencanakan
identifikasi, pengumpulan, pengorganisasian, pemeliharaan, penggunaan, dan penghentian pengetahuan.
Dapatkan,
Implemen
Bangun,
dan Tujuan Proses
s0ERCENTOFINFORMASIKATEGORI DILAKUKAN
s6OLUMEOFINFORMASIKLASIFIKASI
s0ERCENTOFCATEGORISEDINFORMATIONVALIDASI
s0ERCENTOFAVAILABLEKnowLEDGEACTUALYUSED
s.UMBEROFUSERSTRAINEDINUSINGANDSHARINGKNOWLEDGE
s, KEPUASAN PENGGUNA
3. Berbagi pengetahuan tertanam dalam budaya perusahaan.
s0ERCENTOFKNOWLEDGEREPOSITORYUSED
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI08.02
BAI08.03
BAI08.04
SEBUAH RRRCCCRCCC
Gunakan dan bagikan pengetahuan.
BAI08.05
SEBUAH CCRRRRRRRR
Mengevaluasi dan menghentikan informasi.
: MENGAKTIFKAN PROSES
Kegiatan
1. Secara proaktif mengkomunikasikan nilai pengetahuan untuk mendorong penciptaan, penggunaan, penggunaan kembali, dan berbagi pengetahuan.
2. Mendorong berbagi dan transfer pengetahuan dengan mengidentifikasi dan memanfaatkan faktor-faktor motivasi.
3. Ciptakan lingkungan, alat dan artefak yang mendukung berbagi dan transfer pengetahuan.
5. Tetapkan harapan manajemen dan tunjukkan sikap yang tepat mengenai kegunaan pengetahuan dan kebutuhan untuk berbagi
pengetahuan perusahaan.
Kegiatan
1. Identifikasi pengguna pengetahuan potensial, termasuk pemilik informasi yang mungkin perlu berkontribusi dan menyetujui pengetahuan. Dapatkan ilmu
persyaratan dan sumber informasi dari pengguna yang teridentifikasi.
2. Pertimbangkan jenis konten (prosedur, proses, struktur, konsep, kebijakan, aturan, fakta, klasifikasi), artefak (dokumen, catatan, video, suara), dan informasi terstruktur dan tidak terstruktur
(pakar, media sosial, email, pesan suara, umpan RSS).
3. Mengklasifikasikan sumber informasi berdasarkan skema klasifikasi konten (misalnya, model arsitektur informasi). Petakan sumber informasi ke
skema klasifikasi.
4. Mengumpulkan, menyusun dan memvalidasi sumber informasi berdasarkan kriteria validasi informasi (misalnya, dapat dimengerti, relevansi, penting, integritas,
akurasi, konsistensi, kerahasiaan, mata uang dan keandalan).
Kegiatan
1. Mengidentifikasi atribut bersama dan mencocokkan sumber informasi, menciptakan hubungan antar kumpulan informasi (penandaan informasi).
2. Buat tampilan ke kumpulan data terkait, dengan mempertimbangkan pemangku kepentingan dan persyaratan organisasi.
3. Merancang dan mengimplementasikan skema untuk mengelola pengetahuan tidak terstruktur yang tidak tersedia melalui sumber formal (misalnya, pengetahuan ahli).
4. Publikasikan dan buat pengetahuan dapat diakses oleh pemangku kepentingan terkait berdasarkan peran dan mekanisme akses.
(misalnya, pemecahan masalah, pembelajaran, perencanaan strategis dan BAI05.05 Rencana operasi dan penggunaan Kesadaran pengetahuan dan APO07.03
pengambilan keputusan). skema pelatihan
BAI05.07 Rencana transfer pengetahuan
Kegiatan
2. Mentransfer pengetahuan ke pengguna pengetahuan berdasarkan analisis kesenjangan kebutuhan dan teknik pembelajaran yang efektif dan alat akses.
3. Mendidik dan melatih pengguna tentang pengetahuan yang tersedia, akses ke pengetahuan dan penggunaan alat akses pengetahuan.
Kegiatan
1. Mengukur kegunaan dan mengevaluasi kegunaan, relevansi dan nilai elemen pengetahuan. Mengidentifikasi informasi terkait yang tidak lagi relevan dengan PERSYARATAN
PENGETAHUAN ENTERPRISE 2. Tentukan aturan untuk pensiun pengetahuan dan pensiunkan pengetahuan yang sesuai.
: MENGAKTIFKAN PROSES
Area: Manajemen
BAI09 Kelola Aset Domain: Membangun, Memperoleh, dan Menerapkan
Deskripsi proses
Kelola aset TI melalui siklus hidupnya untuk memastikan bahwa penggunaannya memberikan nilai dengan biaya optimal, aset tetap beroperasi (sesuai dengan tujuan),
diperhitungkan dan dilindungi secara fisik, dan aset yang penting untuk mendukung kemampuan layanan dapat diandalkan dan tersedia . Kelola lisensi perangkat lunak
untuk memastikan bahwa jumlah optimal diperoleh, dipertahankan, dan digunakan sehubungan dengan penggunaan bisnis yang diperlukan, dan perangkat lunak yang
diinstal sesuai dengan perjanjian lisensi.
06 Transparansi biaya, manfaat dan risiko TI s0ERCENTOINVESTMENTKASUS USAHADITENTUKAN DENGAN JELAS DAN DISETUJUI
biaya dan manfaat terkait TI yang diharapkan
s0ERCENTOF)4LAYANANDITENTUKAN DENGAN JELAS DAN DISETUJUI OPERASIONAL
biaya dan manfaat yang diharapkan
s3SURVEI KEPUASAN KUNCI PEMEGANG PEMANGKU KEPENTINGAN TENTANG ELEVELOF
11 Optimalisasi aset, sumber daya, dan kemampuan TI PENILAIAN KEMATIAN DAN KOSTOPTIMISASI KEMATIAN DAN PERMINTAAN
s4RENDOFASSESSMENTHASIL
s3TINGKAT KEPUASAN BISNISDAN)4EKSEKUTIF DENGAN)4 BIAYA TERKAIT
dan kemampuan
Sasaran dan Metrik Proses
Dapatkan,
Implemen
Bangun,
dan Tujuan Proses
s0ERCENTOFUSEDLICENCESAGAINSTPAID FORLICENCES
s.UMBEROFASSETTIDAK DIGUNAKAN
s"BIAYA ENCHMARK
s.UMBEROFOBSOLETEASETS
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI09.02
C IC CC RRARCCC
Mengelola aset penting.
BAI09.03
C CCAR
Mengelola siklus hidup aset.
BAI09.04
R IC ARRRR
Mengoptimalkan biaya aset.
BAI09.05
IC CRA RRRC
Mengelola lisensi.
: MENGAKTIFKAN PROSES
Kegiatan
1. Identifikasi semua aset yang dimiliki dalam daftar aset yang mencatat status saat ini. Pertahankan keselarasan dengan manajemen perubahan dan konfigurasi
proses manajemen, sistem manajemen konfigurasi, dan catatan akuntansi keuangan.
2. Identifikasi persyaratan hukum, peraturan atau kontrak yang perlu ditangani saat mengelola aset.
5. Menentukan secara teratur apakah setiap aset terus memberikan nilai dan, jika demikian, memperkirakan masa manfaat yang diharapkan untuk memberikan nilai.
Kegiatan
1. Identifikasi aset yang penting dalam menyediakan kemampuan layanan dengan merujuk persyaratan dalam definisi layanan, SLA, dan konfigurasi
sistem manajemen.
2. Memantau kinerja aset penting dengan memeriksa tren insiden dan, jika perlu, mengambil tindakan untuk memperbaiki atau mengganti.
3. Secara teratur, pertimbangkan risiko kegagalan atau kebutuhan penggantian setiap aset kritis.
4. Menjaga ketahanan aset kritis dengan menerapkan pemeliharaan preventif rutin, memantau kinerja, dan, jika diperlukan, memberikan alternatif
DAN ORADDITIONALASSETSTOMINIMISETHELIKELIHOODOFFAILURE
5. Menetapkan rencana pemeliharaan preventif untuk semua perangkat keras, dengan mempertimbangkan analisis biaya-manfaat, rekomendasi vendor, risiko pemadaman, kualifikasi
personel dan faktor lain yang relevan.
6. Menetapkan perjanjian pemeliharaan yang melibatkan akses pihak ketiga ke fasilitas TI organisasi untuk aktivitas di dalam dan di luar lokasi (misalnya, outsourcing).
Menetapkan kontrak layanan formal yang berisi atau mengacu pada semua kondisi keamanan yang diperlukan, termasuk prosedur otorisasi akses, untuk memastikan kepatuhan
terhadap kebijakan dan standar keamanan organisasi.
7. Komunikasikan kepada pelanggan dan pengguna yang terkena dampak dampak yang diharapkan (misalnya, pembatasan kinerja) dari kegiatan pemeliharaan.
8. Pastikan bahwa layanan akses jarak jauh dan profil pengguna (atau cara lain yang digunakan untuk pemeliharaan atau diagnosis) hanya aktif bila diperlukan.
9. Memasukkan waktu henti yang direncanakan dalam jadwal produksi secara keseluruhan, dan menjadwalkan kegiatan pemeliharaan untuk meminimalkan dampak buruk pada
proses bisnis.
Kegiatan
1. Pengadaan semua aset berdasarkan permintaan yang disetujui dan sesuai dengan kebijakan dan praktik pengadaan perusahaan.
2. Sumber, terima, verifikasi, uji dan catat semua aset dengan cara yang terkendali, termasuk pelabelan fisik, sebagaimana diperlukan.
3. Menyetujui pembayaran dan menyelesaikan proses dengan pemasok sesuai dengan kondisi kontrak yang disepakati.
4. Terapkan aset mengikuti siklus hidup implementasi standar, termasuk manajemen perubahan dan pengujian penerimaan.
5. Mengalokasikan aset kepada pengguna, dengan penerimaan tanggung jawab dan persetujuan, sebagaimana mestinya.
6. Alokasi ulang aset bila memungkinkan ketika tidak lagi diperlukan karena perubahan peran pengguna, redundansi dalam layanan, atau pensiun
dari sebuah layanan.
7. Buang aset ketika aset tersebut tidak memiliki tujuan yang berguna karena penghentian semua layanan terkait, teknologi usang, atau kurangnya pengguna.
8. Buang aset dengan aman, dengan mempertimbangkan, misalnya, penghapusan permanen semua data yang direkam pada perangkat media dan potensi kerusakan lingkungan.
9. Merencanakan, mengesahkan, dan mengimplementasikan kegiatan terkait pensiun, menyimpan catatan yang sesuai untuk memenuhi kebutuhan bisnis dan peraturan yang sedang berlangsung.
Kegiatan
1. Secara teratur, tinjau basis aset secara keseluruhan, dengan mempertimbangkan apakah selaras dengan kebutuhan bisnis.
2. Kaji biaya pemeliharaan, pertimbangkan kewajaran, dan identifikasi opsi berbiaya lebih rendah, termasuk, jika perlu, penggantian dengan alternatif baru.
3. Tinjau jaminan dan pertimbangkan nilai uang dan strategi penggantian untuk menentukan opsi dengan biaya terendah.
4. Tinjau basis keseluruhan untuk mengidentifikasi peluang untuk standardisasi, sumber tunggal, dan strategi lain yang dapat menurunkan pengadaan, dukungan dan
biaya perawatan.
5. Gunakan statistik kapasitas dan pemanfaatan untuk mengidentifikasi aset yang kurang dimanfaatkan atau berlebihan yang dapat dipertimbangkan untuk dibuang atau diganti dengan biaya yang lebih rendah.
6. Tinjau keadaan keseluruhan untuk mengidentifikasi peluang untuk memanfaatkan teknologi yang muncul atau strategi sumber alternatif untuk mengurangi biaya atau meningkatkan nilai
untuk uang.
: MENGAKTIFKAN PROSES
!CTIONPLANTOADJUST APO02.05
nomor dan alokasi
lisensi
Kegiatan
1. Menyimpan daftar semua lisensi perangkat lunak yang dibeli dan perjanjian lisensi terkait.
2. Secara teratur, lakukan audit untuk mengidentifikasi semua contoh perangkat lunak berlisensi yang diinstal.
3. Bandingkan jumlah instans perangkat lunak yang diinstal dengan jumlah lisensi yang dimiliki.
4. Ketika instans lebih rendah dari jumlah yang dimiliki, putuskan apakah perlu mempertahankan atau menghentikan lisensi, dengan mempertimbangkan potensi penghematan
pemeliharaan yang tidak perlu, pelatihan dan biaya lainnya.
6. Secara teratur, pertimbangkan apakah nilai yang lebih baik dapat diperoleh dengan meningkatkan produk dan lisensi terkait.
.SATU
Area: Manajemen
BAI10 Manage Configuration Domain: Membangun, Memperoleh, dan Menerapkan
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan s#OSTOF)4NON COMPLIANCETERMASUK PENYELESAIANSANDFINESANDDampak
peraturan eksternal dari kerugian reputasi s.UMBEROF)4 MASALAH KEPATUHAN YANG TERKAIT
DILAPORANKAN KE DEWAN PENDAPATAN menyebabkan komentar publik atau
mempermalukan s.UMBEROFNON KEPATUHANPLUGIAN BERKAITAN DENGAN
PERJANJIAN KONTRAKTUASI#LEBIH DARI PENYEDIA LAYANAN TI
TERKAIT
Dapatkan,
Implemen
Bangun,
dan 14 Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan
s2ASIOANDEXTENTOFERRONEOUSBUSINESSKeputusanWHEREERRONEOUSOR
informasi yang tidak tersedia adalah faktor kunci
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
BAI10.01
Membangun dan C CCC I ARR
memelihara model konfigurasi.
BAI10.02
Membangun dan
CRARR
memelihara repositori
konfigurasi dan baseline.
BAI10.03
Memelihara dan ACRRRC
mengontrol item konfigurasi.
BAI10.04
Menghasilkan laporan status dan Saya Saya saya CCAR saya
konfigurasi.
BAI10.05
Saya R RRA R
6ERIFYANDREVIEWINTEGRITYOFTrepositori konfigurasi.
: MENGAKTIFKAN PROSES
Kegiatan
1. Tetapkan dan setujui cakupan dan tingkat detail untuk manajemen konfigurasi (yaitu, layanan, aset, dan infrastruktur mana yang dapat dikonfigurasi
item untuk disertakan).
2. Menetapkan dan memelihara model logis untuk manajemen konfigurasi, termasuk informasi tentang jenis item konfigurasi, atribut item konfigurasi,
jenis hubungan, atribut hubungan dan kode status.
Kegiatan
2. Buat, tinjau, dan setujui secara formal baseline konfigurasi layanan, aplikasi, atau infrastruktur.
s!SSETREGISTER
BAI09.03 s!UTHORISEDASSET
pensiun
s5PDATEDASET DAFTAR
Kegiatan
2. Tinjau perubahan yang diusulkan pada item konfigurasi terhadap baseline untuk memastikan kelengkapan dan akurasi.
3. Perbarui detail konfigurasi untuk perubahan yang disetujui pada item konfigurasi.
4. Buat, tinjau, dan setujui secara formal perubahan pada baseline konfigurasi kapan pun diperlukan.
Kegiatan
2. Cocokkan semua perubahan konfigurasi dengan permintaan perubahan yang disetujui untuk mengidentifikasi perubahan yang tidak sah. Laporkan perubahan tidak sah ke
manajemen perubahan.
3. Identifikasi persyaratan pelaporan dari semua pemangku kepentingan, termasuk konten, frekuensi dan media. Membuat laporan sesuai dengan
persyaratan yang teridentifikasi.
Kegiatan
1. Verifikasi item konfigurasi langsung secara berkala terhadap repositori konfigurasi dengan membandingkan konfigurasi fisik dan logis dan menggunakan yang sesuai
alat penemuan, sesuai kebutuhan.
2. Laporkan dan tinjau semua penyimpangan untuk koreksi yang disetujui atau tindakan untuk menghapus aset yang tidak sah.
3. Verifikasi secara berkala bahwa semua item konfigurasi fisik, sebagaimana didefinisikan dalam repositori, ada secara fisik. Laporkan setiap penyimpangan kepada manajemen.
4. Tetapkan dan tinjau target kelengkapan konfigurasi repositori secara berkala berdasarkan kebutuhan bisnis.
5. Secara berkala membandingkan tingkat kelengkapan dan akurasi terhadap target dan mengambil tindakan perbaikan, jika diperlukan, untuk meningkatkan kualitas
data penyimpanan.
: MENGAKTIFKAN PROSES
01 Mengelola operasi.
03 Mengelola masalah.
04 Mengelola kontinuitas.
: MENGAKTIFKAN PROSES
Area: Manajemen
DSS01 Kelola Operasi Domain: Pengiriman, Layanan, dan Dukungan
Deskripsi proses
Mengkoordinasikan dan melaksanakan kegiatan dan prosedur operasional yang diperlukan untuk memberikan layanan TI internal dan outsourcing, termasuk pelaksanaan
prosedur operasi standar yang telah ditentukan dan kegiatan pemantauan yang diperlukan.
11 Optimalisasi aset, sumber daya, dan kemampuan TI PENILAIAN KEMATIAN DAN KOSTOPTIMISASI KEMATIAN DAN PERMINTAAN
s4RENDOFASSESSMENTHASIL
s3TINGKAT KEPUASAN BISNISDAN)4EKSEKUTIF DENGAN)4 BIAYA TERKAIT
dan kemampuan
1. Kegiatan operasional dilakukan sesuai kebutuhan dan terjadwal. s.UMBEROFNON STANDAR OPERASIONAL PROSEDUR DILAKSANAKAN
s.UMBEROFINCIDENTSEBAB MASALAH OPERASIONAL
Dukungan
Layanan,
Kirim,
dan
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
DSS01.01
Sebuah CCC
Melakukan prosedur operasional.
DSS01.02
Saya DENGAN
Mengelola layanan TI yang dialihdayakan.
DSS01.03
Saya C Saya CI CA CC
Memantau infrastruktur TI.
DSS01.04
Saya ITU CCC I CR IRI
Mengelola lingkungan.
DSS01.05
Saya ITU CCC I CR IRI
Mengelola fasilitas.
: MENGAKTIFKAN PROSES
Kegiatan
1. Mengembangkan dan memelihara prosedur operasional dan kegiatan terkait untuk mendukung semua layanan yang diberikan.
2. Menjaga jadwal kegiatan operasional, melakukan kegiatan, dan mengelola kinerja dan throughput dari kegiatan yang dijadwalkan.
6ERIFYTHALLDATADIHARAPKANUNTUK PROSES DITERIMA DAN DIPROSES SEPENUHNYA AKURAT DAN TEPAT WAKTU MANNER $ELIVEROUTPUTINACORDANCE
dengan persyaratan perusahaan. Mendukung kebutuhan restart dan pemrosesan ulang. Pastikan bahwa pengguna menerima output yang tepat dengan cara yang aman dan tepat waktu.
%NSURETHATAPLICABLESECURITYSTANDARSAREMETFORTHEIPTPROCESSINGSTORAGEANDOUTPUTOFDATAINAWAYTHMEETSENTERPRISEOBJECTIVESTHE
KEBIJAKAN DAN PERSYARATAN PERATURAN KEAMANAN PERUSAHAAN
5. Menjadwalkan, mengambil, dan mencatat pencadangan sesuai dengan kebijakan dan prosedur yang ditetapkan.
Kegiatan
3. Mengintegrasikan proses manajemen TI internal yang penting dengan proses dari penyedia layanan outsourcing, yang meliputi, misalnya, perencanaan kinerja dan kapasitas,
manajemen perubahan, manajemen konfigurasi, permintaan layanan dan manajemen insiden, manajemen masalah, manajemen keamanan, kelangsungan bisnis, dan pemantauan
kinerja proses dan pelaporan.
4. Rencanakan audit independen dan jaminan lingkungan operasional penyedia outsourcing untuk mengonfirmasi bahwa persyaratan yang disepakati sedang
ditangani secara memadai.
Kegiatan
1. Log peristiwa, mengidentifikasi tingkat informasi yang akan direkam berdasarkan pertimbangan risiko dan kinerja.
2. Mengidentifikasi dan memelihara daftar aset infrastruktur yang perlu dipantau berdasarkan kekritisan layanan dan hubungan antara konfigurasi
barang dan jasa yang bergantung padanya.
3. Tetapkan dan terapkan aturan yang mengidentifikasi dan mencatat pelanggaran ambang batas dan kondisi peristiwa. Temukan keseimbangan antara menghasilkan peristiwa kecil
palsu dan peristiwa penting sehingga log peristiwa tidak dibebani dengan informasi yang tidak perlu.
4. Menghasilkan log peristiwa dan menyimpannya untuk jangka waktu yang tepat untuk membantu penyelidikan di masa mendatang.
5. Menetapkan prosedur untuk memantau log peristiwa dan melakukan tinjauan rutin.
6. Pastikan bahwa tiket insiden dibuat tepat waktu saat pemantauan mengidentifikasi penyimpangan dari ambang batas yang ditentukan.
Kegiatan
1. Mengidentifikasi bencana alam dan buatan manusia yang mungkin terjadi di area di mana fasilitas TI berada. Menilai efek potensial pada
fasilitas TI.
2. Mengidentifikasi bagaimana peralatan IT, termasuk peralatan mobile dan off-site, dilindungi dari ancaman lingkungan. Pastikan bahwa kebijakan membatasi atau
mengecualikan makan, minum, dan merokok di area sensitif, dan melarang penyimpanan alat tulis dan persediaan lain yang menimbulkan bahaya kebakaran di dalam ruang
komputer.
3. Menempatkan dan membangun fasilitas TI untuk meminimalkan dan mengurangi kerentanan terhadap ancaman lingkungan.
4. Secara teratur memantau dan memelihara perangkat yang secara proaktif mendeteksi ancaman lingkungan (misalnya, api, air, asap, kelembaban).
5. Menanggapi alarm lingkungan dan pemberitahuan lainnya. Dokumen dan prosedur pengujian, yang harus mencakup prioritas alarm dan kontak
dengan otoritas tanggap darurat setempat, dan melatih personel dalam prosedur ini.
6. Bandingkan langkah-langkah dan rencana kontinjensi terhadap persyaratan polis asuransi dan hasil laporan. Atasi poin ketidakpatuhan dalam a
tepat waktu.
7. Pastikan bahwa situs TI dibangun dan dirancang untuk meminimalkan dampak risiko lingkungan (misalnya, pencurian, udara, api, asap, air, getaran, teror, vandalisme,
CHEMICLSEXPLOSIVES#ONSIDERSPECIFICSZONESAND ORFIREPROOFCELLS EG LOKASI PRODUKSI DAN PENGEMBANGAN LINGKUNGAN SERVERSAWA
dari satu sama lain).
8. Jaga agar situs TI dan ruang server tetap bersih dan dalam kondisi aman setiap saat (yaitu, tidak berantakan, tidak ada kertas atau kotak kardus, tidak ada tempat sampah yang terisi, tidak ada
bahan atau bahan kimia yang mudah terbakar).
Kegiatan
2EGULARLYTESTTHEUNINTERRUPTIBLEPOWERSMEKANISME PENAWARAN DAN PASTIKAN BAHWA DAYA DAPAT DIBERAKHIRKAN UNTUK PENAWARAN TANPA EFEK SIGNIFIKAN
operasi bisnis.
3. Pastikan bahwa fasilitas yang menampung sistem TI memiliki lebih dari satu sumber untuk utilitas yang bergantung (misalnya, listrik, telekomunikasi, air, gas).
Pisahkan pintu masuk fisik setiap utilitas.
4. Konfirmasikan bahwa pemasangan kabel eksternal ke situs TI terletak di bawah tanah atau memiliki perlindungan alternatif yang sesuai. Tentukan bahwa pemasangan kabel di
dalam situs TI berada di dalam saluran yang aman, dan lemari kabel memiliki akses terbatas untuk personel yang berwenang. Lindungi kabel dengan benar dari kerusakan yang
disebabkan oleh api, asap, air, intersepsi, dan interferensi.
5. Pastikan bahwa pemasangan kabel dan tambalan fisik (data dan telepon) terstruktur dan terorganisir. Struktur kabel dan saluran harus didokumentasikan
(misalnya, denah bangunan cetak biru dan diagram pengkabelan).
7. Pastikan bahwa situs dan fasilitas TI terus mematuhi undang-undang, peraturan, pedoman, dan spesifikasi vendor terkait kesehatan dan keselamatan.
8. Mendidik personel secara teratur tentang undang-undang, peraturan, dan pedoman terkait kesehatan dan keselamatan. Mendidik personel tentang latihan kebakaran dan penyelamatan untuk
memastikan pengetahuan dan tindakan yang diambil jika terjadi kebakaran atau insiden serupa.
9. Mencatat, memantau, mengelola, dan menyelesaikan insiden fasilitas sesuai dengan proses manajemen insiden TI. Membuat laporan yang tersedia tentang fasilitas
insiden di mana pengungkapan diperlukan dalam hal hukum dan peraturan.
% PASTI)4 SITUSSAN PERALATAN DIPERTAHANKAN SESUAI DENGAN YANG DISARANKAN PEMASOK LAYANANINTERVALDAN SPESIFIKASI 4PERAWATAN
harus dilakukan hanya oleh personel yang berwenang.
11. Menganalisis perubahan fisik pada situs atau bangunan TI untuk menilai kembali risiko lingkungan (misalnya, kerusakan akibat kebakaran atau air). Laporkan hasil analisis ini
kepada kelangsungan bisnis dan manajemen fasilitas.
)4),6 s %VENT-ANAGEMENT
s /PERASI-ANAGEMENT
: MENGAKTIFKAN PROSES
Area: Manajemen
DSS02 Kelola Permintaan Layanan dan Insiden Deskripsi Domain: Pengiriman, Layanan, dan Dukungan
2. Insiden diselesaikan sesuai dengan tingkat layanan yang disepakati. SETUJU PADA PERIODE YANG DAPAT DITERIMA
waktu
3. Permintaan layanan ditangani sesuai dengan tingkat layanan yang disepakati dan s,EVELOFUSERKASIFAKSIPERMINTAAN PELAYANAN s-
untuk kepuasan pengguna. EANELAPSEDTIMEFORHANDLINGSETIAP JENISPERMINTAAN LAYANAN
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
DSS02.01
Menentukan skema klasifikasi C Saya Saya ACRR RCCC
DSS02.02
DSS02.03
6ERIFYAPPROVEANDFULFIL R saya RR A
permintaan layanan.
DSS02.04
DSS02.05
Menyelesaikan dan Saya Saya Saya CC I RR AR C
memulihkan dari insiden.
DSS02.06
Menutup permintaan dan Saya Saya Saya Saya Saya AKU DAN AKU
insiden layanan.
DSS02.07
Melacak status dan Saya Saya Saya Saya Saya KEPADA YA RI
menghasilkan laporan.
Kegiatan
1. Tentukan klasifikasi insiden dan permintaan layanan serta skema prioritas dan kriteria untuk pendaftaran masalah, untuk memastikan pendekatan yang konsisten untuk
penanganan, menginformasikan pengguna tentang dan melakukan analisis tren.
2. Tentukan model insiden untuk kesalahan yang diketahui untuk memungkinkan penyelesaian yang efisien dan efektif.
3. Tentukan model permintaan layanan sesuai dengan jenis permintaan layanan untuk mengaktifkan layanan swadaya dan layanan yang efisien untuk permintaan standar.
$EFINEINSIDENTESCALATIONRULESANDPROCEDURESESKHUSUSFORMAJORINCIDENSANDINSIDENT KEAMANAN
diprioritaskan APO13.03
DSS01.03 s) TIKET NIDENT
s!ATURAN SSETMONITORING
dan kondisi acara
Kegiatan
1. Catat semua permintaan dan insiden layanan, catat semua informasi yang relevan sehingga dapat ditangani secara efektif dan catatan sejarah lengkap dapat
dipertahankan.
2. Untuk mengaktifkan analisis tren, klasifikasikan permintaan dan insiden layanan dengan mengidentifikasi jenis dan kategori.
3. Memprioritaskan permintaan dan insiden layanan berdasarkan definisi layanan SLA tentang dampak dan urgensi bisnis.
DSS02.03 Memverifikasi, menyetujui dan memenuhi permintaan layanan. Dari Deskripsi Keterangan Ke
Kegiatan
1. Verifikasi hak untuk permintaan layanan menggunakan, jika memungkinkan, aliran proses yang telah ditentukan sebelumnya dan perubahan standar.
ULFILTERPERMINTAAN DENGAN MELAKUKANPROSEDUR PERMINTAAN TERPILIH MENGGUNAKAN DIMANA MUNGKIN MEMBANTU DIRI OTOMATISMENUSANDPREDE
untuk barang yang sering diminta.
Kegiatan
)DENTIFYANDDESCRIBERGEELEVANTSYMPTOMSTOESTABLISHTHEMAST MELAPUNG PENYEBAB INSIDEN LEMBUT 2REFERENSI TERSEDIA SUMBER PENGETAHUAN TERMASUK
Diketahui direrum dan keahlian idemidentifypossible incididentsolution kerja sementara dan orpermanentsolutions) farelatedproblemorknownerrordo
-noTalreadyread -existanDiftheincidentsy -for -everignied -everignied -noughon -tiF -noughon -tiFon -tiFon -tiFon -tiFon -non -noughon -non -noughon -non -noughon -tiFon -tiFon -tiFon
-tigion
DIPELAJARI PENGETAHUAN
Kegiatan
$OCUMENTINCIDENTRESSOLUTIONANDASSESSIFHERESSOLUTIONDAPAT DIGUNAKANASAFUTUREKNOWLEDGESOURCE
: MENGAKTIFKAN PROSES
Kegiatan
6ERIFIKASI DENGAN PENGGUNA YANG TERDAMPAK JIKA SETUJU BAHWA PERMINTAAN LAYANAN TELAH TERSELESAIKAN ATAU INSIDEN TELAH MEMUASKAN
Kegiatan
1. Memantau dan melacak eskalasi dan resolusi insiden serta meminta prosedur penanganan untuk kemajuan menuju penyelesaian atau penyelesaian.
2. Identifikasi pemangku kepentingan informasi dan kebutuhan mereka akan data atau laporan. Identifikasi frekuensi dan media pelaporan.
3. Analisis insiden dan permintaan layanan berdasarkan kategori dan jenis untuk menetapkan tren dan mengidentifikasi pola masalah berulang, pelanggaran SLA, atau
inefisiensi. Gunakan informasi tersebut sebagai masukan untuk perencanaan perbaikan berkelanjutan.
4. Menghasilkan dan mendistribusikan laporan tepat waktu atau menyediakan akses terkontrol ke data online.
)4),6 s) NCIDENT-ANAGEMENT
s
2 PERMINTAAN & PENULISAN
Area: Manajemen
DSS03 Kelola Masalah Deskripsi Domain: Pengiriman, Layanan, dan Dukungan
s0ERCENTOFENTERPRISERISKASSESSMENTTERMASUK )4 RELATEDRISK
s&REQUENCYOFUPDATEOFRISKPROFILE
TERKAIT
14 Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan s,KEMBANGKAN BISNIS KEPUASAN PENGGUNA DENGAN KUALITAS DAN
KETEPATAN WAKTU (atau ketersediaan) dari informasi manajemen
s2ASIOANDEXTENTOFERRONEOUSBUSINESSKeputusanWHEREERRONEOUSOR
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
DSS03.01
IC Saya Saya Saya Saya RCRR AC
Mengidentifikasi dan mengklasifikasikan masalah.
DSS03.02
Menyelidiki dan Saya Saya CCA RR
mendiagnosis masalah.
DSS03.03
RR
Meningkatkan kesalahan yang diketahui.
DSS03.04
IC Saya Saya CC I CCR A
Menyelesaikan dan menutup masalah.
DSS03.05
Lakukan manajemen C CCR A
masalah proaktif.
Kegiatan
1. Identifikasi masalah melalui korelasi laporan insiden, log kesalahan dan sumber daya identifikasi masalah lainnya. Tentukan tingkat prioritas dan
kategorisasi untuk mengatasi masalah secara tepat waktu berdasarkan risiko bisnis dan definisi layanan.
(DANSEMUA MASALAH SECARA FORMAL DENGAN AKSESSTOALLRELEVANTDATATERMASUKINFORMASI DARI SISTEMMANAJEMEN PERUBAHAN)4 ASET KONFIGURASI
dan detail kejadian.
3. Tentukan kelompok pendukung yang tepat untuk membantu identifikasi masalah, analisis akar masalah, dan penentuan solusi untuk mendukung masalah
pengelolaan. Tentukan kelompok pendukung berdasarkan kategori yang telah ditentukan sebelumnya, seperti perangkat keras, jaringan, perangkat lunak, aplikasi, dan perangkat lunak pendukung.
4. Tentukan tingkat prioritas melalui konsultasi dengan bisnis untuk memastikan bahwa identifikasi masalah dan analisis akar penyebab ditangani tepat waktu sesuai
Dukungan
Layanan,
Kirim,
dan
dengan SLA yang disepakati. Dasarkan tingkat prioritas pada dampak dan urgensi bisnis.
5. Laporkan status masalah yang teridentifikasi ke meja layanan sehingga pelanggan dan manajemen TI dapat terus mendapat informasi.
6. Memelihara katalog manajemen masalah tunggal untuk mendaftar dan melaporkan masalah yang diidentifikasi dan untuk menetapkan jejak audit manajemen masalah
proses, termasuk status setiap masalah (yaitu, buka, buka kembali, sedang berlangsung atau ditutup).
Kegiatan
1. Identifikasi masalah yang mungkin merupakan kesalahan yang diketahui dengan membandingkan data insiden dengan database kesalahan yang diketahui dan yang dicurigai (misalnya, yang dikomunikasikan
oleh vendor eksternal) dan mengklasifikasikan masalah sebagai kesalahan yang diketahui.
!SOCIATETHEAFECTEDCONFIGURATIONITEMSTOTHEESTABLISHED KNOWNERROR
3. Menghasilkan laporan untuk mengkomunikasikan kemajuan dalam menyelesaikan masalah dan untuk memantau dampak berkelanjutan dari masalah yang tidak terpecahkan. Pantau statusnya
dari proses penanganan masalah sepanjang siklus hidupnya, termasuk masukan dari manajemen perubahan dan konfigurasi.
Kegiatan
1. Segera setelah akar penyebab masalah diidentifikasi, buat catatan kesalahan yang diketahui dan kembangkan solusi yang sesuai.
2. Mengidentifikasi, mengevaluasi, memprioritaskan, dan memproses (melalui manajemen perubahan) solusi untuk kesalahan yang diketahui berdasarkan kasus dan bisnis biaya-manfaat
dampak dan urgensi.
Kegiatan
1. Tutup catatan masalah baik setelah konfirmasi keberhasilan penghapusan kesalahan yang diketahui atau setelah kesepakatan dengan bisnis tentang cara alternatif menangani
masalah.
2. Beri tahu meja layanan tentang jadwal penutupan masalah, misalnya jadwal untuk memperbaiki kesalahan yang diketahui, kemungkinan solusi atau fakta bahwa masalah akan tetap ada
sampai perubahan diterapkan, dan konsekuensi dari pendekatan yang diambil. Tetap beri tahu pengguna dan pelanggan yang terpengaruh sebagaimana mestinya.
3. Selama proses penyelesaian, dapatkan laporan berkala dari manajemen perubahan tentang kemajuan dalam menyelesaikan masalah dan kesalahan.
4. Memantau dampak berkelanjutan dari masalah dan kesalahan yang diketahui pada layanan.
6. Pastikan pengetahuan yang dipelajari dari ulasan tersebut dimasukkan ke dalam pertemuan tinjauan layanan dengan pelanggan bisnis.
Kegiatan
1. Menangkap informasi masalah yang terkait dengan perubahan dan insiden TI dan mengkomunikasikannya kepada pemangku kepentingan utama. Komunikasi ini dapat berupa laporan dan
pertemuan berkala antara pemilik proses manajemen insiden, masalah, perubahan dan konfigurasi untuk mempertimbangkan masalah terkini dan tindakan korektif potensial.
2. Pastikan bahwa pemilik proses dan manajer dari manajemen insiden, masalah, perubahan, dan konfigurasi bertemu secara teratur untuk membahas masalah yang diketahui
dan perubahan yang direncanakan di masa depan.
3. Untuk memungkinkan perusahaan memantau total biaya masalah, menangkap upaya perubahan yang dihasilkan dari aktivitas proses manajemen masalah
(misalnya, perbaikan masalah dan kesalahan yang diketahui) dan laporkan.
4. Menghasilkan laporan untuk memantau penyelesaian masalah terhadap persyaratan bisnis dan SLA. Pastikan eskalasi masalah yang tepat, misalnya,
eskalasi ke tingkat manajemen yang lebih tinggi sesuai dengan kriteria yang disepakati, menghubungi vendor eksternal, atau merujuk ke dewan penasihat perubahan untuk meningkatkan
prioritas permintaan mendesak untuk perubahan (RFC) untuk menerapkan solusi sementara.
5. Untuk mengoptimalkan penggunaan sumber daya dan mengurangi solusi, lacak tren masalah.
6. Mengidentifikasi dan memulai solusi berkelanjutan (perbaikan permanen) mengatasi akar permasalahan, dan meningkatkan permintaan perubahan melalui perubahan yang telah ditetapkan
proses manajemen.
: MENGAKTIFKAN PROSES
Area: Manajemen
DSS04 Manage Continuity Domain: Pengiriman, Layanan, dan Dukungan
14 Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan s,KEMBANGKAN BISNIS KEPUASAN PENGGUNA DENGAN KUALITAS
DAN KETEPATAN WAKTU (atau ketersediaan) dari informasi manajemen
s2ASIOANDEXTENTOFERRONEOUSBUSINESSKeputusanWHEREERRONEOUSOR
informasi yang tidak tersedia adalah faktor kunci
1. Informasi penting bisnis tersedia untuk bisnis sesuai dengan tingkat layanan s0ERCENTOF)4SERVICESMEETINGUPTIMEPERSYARATAN
minimum yang diperlukan. s0ERCENTOFSUCCESSFULANDTIMELYRESTORATIONFROM BACKUPORALTERNATE
salinan media s0ERCENTOFBACKUPMEDIATRANSFERREDANDDISIMPAN
DENGAN AMAN
4. Rencana kesinambungan terkini mencerminkan kebutuhan bisnis saat ini. s0ERCENTOFAGREED ONIMPROVEMENTSTOTHEPLANTA YANG TELAH TERCANTUM
DALAM rencana s0ERCENTOFISSUESIDENTIFIED YANG TELAH TELAH SETELAH
DITUTAPKAN DALAM rencana
5. Pihak internal dan eksternal telah dilatih dalam rencana kesinambungan. s0ERCENTOFINTERNALANDEXTERNALSTAKEHOLDER YANG TELAH
MENDAPATKANPELATIHAN s0ERCENTOFISSUESIDENTIFIEDENTIFIED YANG TELAH
SELANJUTNYA MENYATAKAN materi pelatihan
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
DSS04.03
DSS04.04
Latihan, uji dan tinjau DAN saya RR CR SEBUAH
BCP.
DSS04.05
DSS04.06
DAN R RRR A
Melakukan pelatihan rencana kesinambungan.
DSS04.07
ITU R
Mengelola pengaturan pencadangan.
DSS04.08
Kegiatan
2. Identifikasi pemangku kepentingan utama dan peran serta tanggung jawab untuk mendefinisikan dan menyetujui kebijakan dan ruang lingkup kesinambungan.
Kegiatan
2. Melakukan analisis dampak bisnis untuk mengevaluasi dampak gangguan dari waktu ke waktu terhadap fungsi bisnis penting dan dampak yang akan ditimbulkan oleh gangguan
miliki pada mereka.
3. Tetapkan waktu minimum yang diperlukan untuk memulihkan proses bisnis dan mendukung TI berdasarkan lama gangguan bisnis yang dapat diterima dan
pemadaman maksimum yang dapat ditoleransi.
5. Menganalisis persyaratan kesinambungan untuk mengidentifikasi kemungkinan bisnis strategis dan opsi teknis.
Kegiatan
$EFINETHEINCIDENTRESPONSEACTIONSANDCOMMUNICATIONSTOBETAKENPEREVENTOFDISRUPTION $EFINERELATEDROLESANDRESPONSIBILITIEStermasuk
akuntabilitas untuk kebijakan dan implementasi.
2. Mengembangkan dan memelihara BCP operasional yang berisi prosedur yang harus diikuti untuk memungkinkan kelanjutan operasi proses bisnis penting dan/atau
PEMROSESAN SEMENTARAPERATURANTERMASUKLINKSTOPLANSOFOUTSOURCEDLAYANAN PENYEDIA
$EFINEHECONDITIONSANDRECOVERYPROCEDENTINGKONDITION
database informasi untuk menjaga integritas informasi.
$EFINEANDDOCUMENTTHEINFORMATIONBACKUPREQUIREMENTSREQUIREDTOUPPORTTHEPLANSINCLUDINGPLANSANDPAPERDATAPLANSI
$ISTRIBUTEPLANSANDSPENDUKUNGDOKUMENTASIAMANTOTEPAT SECARA SESUAI RESMI PIHAK-PIHAK YANG TERTARIK DAN PASTIKAN MEREKA DAPAT DIAKSES DI BAWAH SEMUA
skenario bencana.
: MENGAKTIFKAN PROSES
Kegiatan
1. Tetapkan tujuan untuk menjalankan dan menguji sistem bisnis, teknis, logistik, administratif, prosedural, dan operasional dari rencana untuk memverifikasi
kelengkapan BCP dalam memenuhi risiko bisnis.
2. Tetapkan dan setujui latihan dengan pemangku kepentingan yang realistis, validasi prosedur kontinuitas, dan sertakan peran dan tanggung jawab serta data
pengaturan retensi yang menyebabkan gangguan minimal pada proses bisnis.
3. Tetapkan peran dan tanggung jawab untuk melakukan latihan dan tes rencana kesinambungan.
4. Jadwalkan latihan dan aktivitas tes seperti yang didefinisikan dalam rencana kontinuitas.
6. Mengembangkan rekomendasi untuk meningkatkan rencana kesinambungan saat ini berdasarkan hasil tinjauan.
Kegiatan
1. Meninjau rencana kesinambungan dan kemampuan secara teratur terhadap asumsi yang dibuat dan tujuan operasional dan strategis bisnis saat ini.
2. Pertimbangkan apakah penilaian dampak bisnis yang direvisi mungkin diperlukan, tergantung pada sifat perubahannya.
3. Merekomendasikan dan mengkomunikasikan perubahan dalam kebijakan, rencana, prosedur, infrastruktur, dan peran dan tanggung jawab untuk persetujuan manajemen dan
diproses melalui proses manajemen perubahan.
4. Tinjau rencana kesinambungan secara teratur untuk mempertimbangkan dampak perubahan baru atau besar terhadap: organisasi perusahaan, proses bisnis,
pengaturan outsourcing, teknologi, infrastruktur, sistem operasi dan sistem aplikasi.
Kegiatan
1. Tetapkan dan pertahankan persyaratan dan rencana pelatihan bagi mereka yang melakukan perencanaan kesinambungan, penilaian dampak, penilaian risiko, komunikasi
media, dan respons insiden. Pastikan bahwa rencana pelatihan mempertimbangkan frekuensi pelatihan dan mekanisme penyampaian pelatihan.
2. Mengembangkan kompetensi berdasarkan pelatihan praktis termasuk partisipasi dalam latihan dan tes.
Kegiatan
1. Back up sistem, aplikasi, data dan dokumentasi sesuai jadwal yang telah ditentukan, dengan mempertimbangkan:
s&REQUENCY MONTHLYWEEKLYDAILYETC
s-ODEOFBACKUP EG DISKMIRRORINGFORREALTIMEBACKUPSVS $6$ 2/-FORLONG
TERMRETENTIONs4YPEOFBACKUP EG FULLVS INCREMENTALs4YPEOFMEDIA
s!UTOMASIONLINECADANGAN
s$ATATYPES EG
VOICEOPTICALs#REATIONOFLOGS
s#RITICALEND USERCOMPUTINGDATA EG
SPREADSHEETSs0HYSICALANDLOGICALLOCATIONOFDASOURCES
s3 KEAMANAN DAN HAK AKSES
s%NCRYPTION
2. Memastikan bahwa sistem, aplikasi, data, dan dokumentasi yang dipelihara atau diproses oleh pihak ketiga dicadangkan secara memadai atau diamankan.
Pertimbangkan untuk meminta pengembalian cadangan dari pihak ketiga. Pertimbangkan pengaturan escrow atau deposit.
3. Tetapkan persyaratan untuk penyimpanan data cadangan di lokasi dan di luar lokasi yang memenuhi persyaratan bisnis. Pertimbangkan aksesibilitas yang diperlukan untuk
membuat cadangan data.
5. Uji dan perbarui data yang diarsipkan dan dicadangkan secara berkala.
Kegiatan
2. Menentukan efektivitas rencana, kemampuan kontinuitas, peran dan tanggung jawab, keterampilan dan kompetensi, ketahanan terhadap insiden, teknis
infrastruktur, dan struktur organisasi dan hubungan.
3. Mengidentifikasi kelemahan atau kelalaian dalam rencana dan kemampuan dan membuat rekomendasi untuk perbaikan.
4. Dapatkan persetujuan manajemen untuk setiap perubahan rencana dan terapkan melalui proses pengendalian perubahan perusahaan.
: MENGAKTIFKAN PROSES
Area: Manajemen
DSS05 Manage Security Services Domain: Pengiriman, Layanan, dan Dukungan
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN
peraturan eksternal FINTING dan Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan
Kepatuhan yang Diprioritaskan RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN
penilaian risiko
2. Informasi yang diproses, disimpan, dan dikirimkan oleh perangkat titik s0ERCENTOFINDIVIDUALPENERIMAAN KESADARANPELATIHANTERKAITPENGGUNAAN
akhir dilindungi. perangkat titik akhir s.UMBEROFINCIDENTSILIBATKANENDPOINTDEVICES
s.UMBEROFUNAUTHORISEDDEviceDETECTEDONTHENETWORKORINTHE
3. Semua pengguna dapat diidentifikasi secara unik dan memiliki hak akses sesuai s!VERAGETIMEBETWEENCHANGEANDUPDATEOFACCOUNTS
dengan peran bisnis mereka. s.UMBEROFACCOUNTS VS NUMBEROFAUTHORISEDUSERSSTAFF
4. Tindakan fisik telah diterapkan untuk melindungi informasi dari akses, s0ERCENTOFPERIODICTESTSOFENVIRONMENTALSECURITYPERANGKAT
kerusakan, dan gangguan yang tidak sah saat diproses, disimpan, atau s!VERAGERATINGUNTUK PENILAIAN KEAMANAN FISIK
dikirim. s.UMBEROFISIKAL KEAMANAN TERKAIT
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
DSS05.03
Saya ITU CCC I RR IR
Mengelola keamanan titik akhir.
DSS05.04
Mengelola identitas pengguna R ITU Saya CCC Saya CR IR C
dan akses logis.
DSS05.05
Mengelola akses fisik ke Saya ITU CCC I CR IRI
aset TI.
DSS05.06
Mengelola dokumen sensitif Saya CCA R
dan perangkat keluaran.
DSS05.07
Memantau infrastruktur untuk Saya C saya CCC I CR IRI Saya
Kegiatan
1. Mengkomunikasikan kesadaran perangkat lunak berbahaya dan menegakkan prosedur dan tanggung jawab pencegahan.
2. Instal dan aktifkan alat perlindungan perangkat lunak berbahaya di semua fasilitas pemrosesan, dengan file definisi perangkat lunak berbahaya yang diperbarui sesuai kebutuhan
Dukungan
Layanan,
Kirim,
dan
3. Distribusikan semua perangkat lunak proteksi secara terpusat (versi dan level patch) menggunakan konfigurasi terpusat dan manajemen perubahan.
2 SECARA TERATUR TINJAUAN DAN EVALUASI INFORMASI TENTANG POTENSI ANCAMAN BARU misal MENINJAU PRODUK DAN JASA PENDORONG SARAN KEAMANAN
5. Filter lalu lintas masuk, seperti email dan unduhan, untuk melindungi dari informasi yang tidak diinginkan (misalnya, spyware, email phishing).
6. Melakukan pelatihan berkala tentang malware dalam penggunaan email dan internet. Latih pengguna untuk tidak menginstal perangkat lunak yang dibagikan atau tidak disetujui.
Kegiatan
1. Berdasarkan penilaian risiko dan persyaratan bisnis, buat dan pertahankan kebijakan keamanan konektivitas.
2. Izinkan hanya perangkat resmi yang memiliki akses ke informasi perusahaan dan jaringan perusahaan. Konfigurasikan perangkat ini untuk memaksa entri kata sandi.
3. Menerapkan mekanisme pemfilteran jaringan, seperti firewall dan perangkat lunak pendeteksi intrusi, dengan kebijakan yang sesuai untuk mengontrol dan
lalu lintas keluar.
7. Membangun mekanisme terpercaya untuk mendukung pengiriman dan penerimaan informasi yang aman.
8. Melakukan pengujian penetrasi secara berkala untuk mengetahui kecukupan proteksi jaringan.
9. Melakukan pengujian keamanan sistem secara berkala untuk mengetahui kecukupan perlindungan sistem.
Kegiatan
: MENGAKTIFKAN PROSES
DSS05.04 Mengelola identitas pengguna dan akses logis. Dari Keterangan Keterangan Ke
Memastikan bahwa semua pengguna memiliki hak akses
APO01.02 Definisi peran dan tanggung Hak akses Intern
informasi sesuai dengan kebutuhan bisnis mereka dan
jawab terkait TI pengguna yang disetujui
berkoordinasi dengan unit bisnis yang mengelola hak akses mereka
sendiri dalam proses bisnis. APO03.02 Model arsitektur informasi Hasil ulasan akun pengguna dan Intern
hak istimewa
Kegiatan
1. Menjaga hak akses pengguna sesuai dengan fungsi bisnis dan persyaratan proses. Sejajarkan pengelolaan identitas dan hak akses ke
peran dan tanggung jawab yang ditentukan, berdasarkan prinsip-prinsip yang paling tidak memiliki hak istimewa, perlu dimiliki, dan perlu diketahui.
2. Secara unik mengidentifikasi semua aktivitas pemrosesan informasi berdasarkan peran fungsional, berkoordinasi dengan unit bisnis untuk memastikan bahwa semua peran konsisten
didefinisikan, termasuk peran yang didefinisikan oleh bisnis itu sendiri dalam aplikasi proses bisnis.
3. Otentikasi semua akses ke aset informasi berdasarkan klasifikasi keamanannya, berkoordinasi dengan unit bisnis yang mengelola otentikasi
dalam aplikasi yang digunakan dalam proses bisnis untuk memastikan bahwa kontrol otentikasi telah dikelola dengan benar.
4. Mengelola semua perubahan hak akses (pembuatan, modifikasi, dan penghapusan) agar berlaku pada waktu yang tepat hanya berdasarkan persetujuan dan
transaksi terdokumentasi yang disahkan oleh individu manajemen yang ditunjuk.
6. Lakukan tinjauan manajemen secara teratur terhadap semua akun dan hak istimewa terkait.
7. Memastikan bahwa semua pengguna (internal, eksternal dan sementara) dan aktivitas mereka pada sistem TI (aplikasi bisnis, infrastruktur TI, operasi sistem,
pengembangan dan pemeliharaan) dapat diidentifikasi secara unik. Secara unik mengidentifikasi semua aktivitas pemrosesan informasi oleh pengguna.
8. Pertahankan jejak audit akses ke informasi yang diklasifikasikan sebagai sangat sensitif.
Kegiatan
1. Mengelola permintaan dan pemberian akses ke fasilitas komputasi. Permintaan akses formal harus diselesaikan dan disahkan oleh
pengelolaan situs TI, dan catatan permintaan disimpan. Formulir tersebut harus secara khusus mengidentifikasi area yang aksesnya diberikan kepada individu.
3. Catat dan pantau semua titik masuk ke situs TI. Daftarkan semua pengunjung, termasuk kontraktor dan vendor, ke situs.
4. Instruksikan semua personel untuk menampilkan identifikasi yang terlihat setiap saat. Mencegah penerbitan kartu identitas atau lencana tanpa otorisasi yang tepat.
5. Mengharuskan pengunjung untuk dikawal setiap saat saat berada di lokasi. Jika seorang individu yang tidak didampingi dan tidak dikenal yang tidak mengenakan identifikasi staf diidentifikasi,
petugas keamanan waspada.
6. Batasi akses ke situs TI yang sensitif dengan menetapkan batasan perimeter, seperti pagar, dinding, dan perangkat keamanan di pintu interior dan eksterior.
Pastikan perangkat merekam entri dan memicu alarm jika terjadi akses yang tidak sah. Contoh perangkat tersebut termasuk lencana atau kartu kunci, papan tombol, televisi sirkuit tertutup
dan pemindai biometrik.
Kegiatan
1. Menetapkan prosedur untuk mengatur penerimaan, penggunaan, pemindahan dan pembuangan formulir khusus dan alat keluaran ke dalam, di dalam dan di luar perusahaan.
2. Tetapkan hak akses ke dokumen sensitif dan perangkat keluaran berdasarkan prinsip hak istimewa paling rendah, menyeimbangkan risiko dan persyaratan bisnis.
3. Buat inventarisasi dokumen sensitif dan perangkat keluaran, dan lakukan rekonsiliasi rutin.
4. Menetapkan perlindungan fisik yang sesuai atas formulir khusus dan perangkat sensitif.
5. Hancurkan informasi sensitif dan lindungi perangkat output (misalnya, degaussing media elektronik, penghancuran fisik perangkat memori, pembuatan
penghancur kertas atau keranjang kertas terkunci tersedia untuk menghancurkan formulir khusus dan kertas rahasia lainnya).
Kegiatan
1. Mencatat kejadian terkait keamanan yang dilaporkan oleh alat pemantauan keamanan infrastruktur, mengidentifikasi tingkat informasi yang akan direkam berdasarkan
pertimbangan risiko. Pertahankan mereka untuk jangka waktu yang tepat untuk membantu penyelidikan di masa depan.
2. Tetapkan dan komunikasikan sifat dan karakteristik insiden terkait keamanan potensial sehingga dapat dengan mudah dikenali dan dampaknya
dipahami untuk memungkinkan respons yang sepadan.
4. Menjaga prosedur pengumpulan bukti sesuai dengan aturan bukti forensik lokal dan memastikan bahwa semua staf mengetahui persyaratannya.
5. Pastikan bahwa tiket insiden keamanan dibuat tepat waktu saat pemantauan mengidentifikasi potensi insiden keamanan.
.)3430 2EV Kontrol Keamanan yang Direkomendasikan untuk Sistem Informasi Federal AS
: MENGAKTIFKAN PROSES
Area: Manajemen
DSS06 Kelola Kontrol Proses Bisnis Deskripsi Proses Domain: Pengiriman, Layanan, dan Dukungan
2. Inventarisasi peran, tanggung jawab, dan hak akses diselaraskan dengan s0ERCENTOFBUSINESSPROCESSROLESDIKATANDATAKSESHAKAKSESANDLEVELS
kebutuhan bisnis resmi. of authority s0ERCENTOFBUSINESSPROCESSROLESwithCLEARSEPARATIONOFDUTIES
s.UMBEROFINCIDENTSANDAUDITMENEMUKANSDUETOAKSESORPEMISAHAN
pelanggaran tugas
3. Transaksi bisnis disimpan sepenuhnya dan seperti yang dipersyaratkan dalam log. s0ERCENTOFCOMPLETENESSOFTRACEABLETRANSACTIONLOG
s.UMBEROFINCIDENTWHERETRANSACTIONHISTORYTIDAK DAPAT DITUKAR
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
DSS06.02
Mengontrol pemrosesan RRAR Saya Saya CCC C CC
informasi.
DSS06.03
Mengelola peran, tanggung R ON Saya I CCC C CR C
jawab, hak akses dan tingkat
otoritas.
DSS06.04
Saya saya CC saya C R
Mengelola kesalahan dan pengecualian.
DSS06.05
Memastikan
ITU Saya CCC C CC
ketertelusuran peristiwa
dan akuntabilitas informasi.
DSS06.06
CCCA Saya Saya CCC C CCC
Mengamankan aset informasi.
Kegiatan
1. Mengidentifikasi dan mendokumentasikan aktivitas pengendalian proses bisnis utama untuk memenuhi persyaratan pengendalian untuk strategi, operasional, pelaporan dan
Dukungan
Layanan,
Kirim,
dan
TUJUAN KEPATUHAN
2. Memprioritaskan aktivitas pengendalian berdasarkan risiko yang melekat pada bisnis dan mengidentifikasi pengendalian utama.
4. Terus memantau kegiatan pengendalian secara end-to-end untuk mengidentifikasi peluang untuk perbaikan.
Kegiatan
1. Membuat transaksi oleh individu yang berwenang dengan mengikuti prosedur yang ditetapkan, termasuk, jika sesuai, pemisahan tugas yang memadai mengenai asal usul dan persetujuan
transaksi ini.
4. Perbaiki dan kirim ulang data yang salah diinput tanpa mengurangi tingkat otorisasi transaksi asli. Dimana sesuai untuk
rekonstruksi, simpan dokumen sumber asli untuk jangka waktu yang sesuai.
5. Menjaga integritas dan validitas data selama siklus pemrosesan. Pastikan deteksi transaksi yang salah tidak mengganggu pemrosesan
dari transaksi yang valid.
6. Menjaga integritas data selama gangguan tak terduga dalam pemrosesan bisnis dan mengkonfirmasi integritas data setelah kegagalan pemrosesan.
(DANLEOUTPUTINANAKATA OTORISASI KIRIM KE PENERIMA YANG TEPAT DAN MELINDUNGI INFORMASI SELAMA TRANSMISI 6 ERIFIKASI KEAKURASIAN DAN
kelengkapan keluaran.
"DATA TRANSAKSI DATA ANTARA APLIKASI INTERNALADAN FUNGSI OPERASIONAL BISNIS DALAM ATAU LUAR ENTERPRISECHECKFORPROPER
alamat, keaslian asal dan integritas konten. Menjaga keaslian dan integritas selama transmisi atau pengangkutan.
DSS06.03 Mengelola peran, tanggung jawab, hak akses dan Dari Keterangan Keterangan Ke
tingkat otoritas.
EDM04.02 Tanggung jawab yang diberikan Peran dan tanggung APO01.02
Mengelola peran bisnis, tanggung jawab, tingkat wewenang, dan
untuk manajemen sumber daya jawab yang dialokasikan
pemisahan tugas yang diperlukan untuk mendukung TUJUAN
PROSES BISNIS !UTHORISEACCESSTO APO11.01 Peran, tanggung jawab, dan hak Tingkat otoritas APO01.02
setiap aset informasi yang terkait dengan proses informasi bisnis, keputusan SMM yang dialokasikan
termasuk yang berada di bawah pengawasan bisnis, TI, dan pihak
APO13.01 Pernyataan lingkup SMKI Hak akses yang dialokasikan APO07.04
ketiga. Ini memastikan bahwa bisnis mengetahui di mana data
berada dan siapa yang menangani data atas namanya. DSS05.05 Akses log
Kegiatan
!LLOCATEROLESANDRESPONSIBILITIESBASEDONAPPROVEDJOBDESCRIPTIONSANDALLOCATEDBUSINESSPROCESSACTIVITIES !
LLOCATELEVELSOFAUTHORITYFORAPPROVALOFTRANSACTIONSLIMITSANDANYOTHERDECISIONSRELATINGTOTHEBUSINESSPROCESSBASEDONAPPROVEDJOBROLES !
4. Mengalokasikan peran untuk kegiatan sensitif sehingga ada pemisahan tugas yang jelas.
5. Memberikan kesadaran dan pelatihan mengenai peran dan tanggung jawab secara berkala agar setiap orang memahami tanggung jawabnya; pentingnya kontrol; dan integritas,
kerahasiaan, dan privasi informasi perusahaan dalam segala bentuknya.
6. Tinjau definisi kontrol akses, log, dan laporan pengecualian secara berkala untuk memastikan bahwa semua hak akses valid dan selaras dengan anggota staf saat ini dan peran yang
dialokasikan.
: MENGAKTIFKAN PROSES
Kegiatan
1. Tetapkan dan pertahankan prosedur untuk menetapkan kepemilikan, memperbaiki kesalahan, mengesampingkan kesalahan, dan menangani kondisi yang tidak seimbang.
3. Menindaklanjuti, mengoreksi, menyetujui dan mengirimkan kembali dokumen sumber dan transaksi.
5. Laporkan kesalahan proses informasi bisnis yang relevan secara tepat waktu untuk melakukan analisis akar penyebab dan tren.
Kegiatan
1. Tetapkan persyaratan retensi, berdasarkan persyaratan bisnis, untuk memenuhi kebutuhan operasional, pelaporan keuangan, dan kepatuhan.
3. Buang sumber informasi, bukti pendukung dan catatan transaksi sesuai dengan kebijakan retensi.
Kegiatan
1. Menerapkan klasifikasi data dan penggunaan yang dapat diterima serta kebijakan dan prosedur keamanan untuk melindungi aset informasi di bawah kendali bisnis.
3. Membatasi penggunaan, distribusi, dan akses fisik informasi sesuai dengan klasifikasinya.
4. Identifikasi dan terapkan proses, alat, dan teknik untuk memverifikasi kepatuhan secara wajar.
5. Melaporkan kepada bisnis dan pemangku kepentingan lainnya atas pelanggaran dan penyimpangan.
.SATU
: MENGAKTIFKAN PROSES
Area: Manajemen
MEA01 Memantau, Mengevaluasi, dan Menilai Kinerja dan Kesesuaian Domain: Memantau, Mengevaluasi, dan Menilai
Deskripsi Proses
Mengumpulkan, memvalidasi, dan mengevaluasi tujuan dan metrik bisnis, TI, dan proses. Memantau bahwa proses berjalan terhadap kinerja yang disepakati dan tujuan dan metrik
kesesuaian dan memberikan pelaporan yang sistematis dan tepat waktu.
1. Sasaran dan metrik disetujui oleh pemangku kepentingan. s0ERCENTOALSANDMETRICSDISETUJUI OLEH PEMANGKU
2. Proses diukur terhadap tujuan dan metrik yang disepakati. KEPENTINGAN s0ERCENTOFPROCESSESDENGANGOALSANDMETRICS
3. Pendekatan pemantauan, penilaian dan informasi perusahaan efektif dan operasional. s0ERCENTOFPROCESSESWITEFECTIVENESSOFGOALSANDMETRICSDITINJAU
dan ditingkatkan s0ERCENTOFCRITICEDTOFRITICERSSYMONCENTOFRITICALPROCRITICAL
5. Proses pelaporan kinerja dan kesesuaian berguna dan tepat waktu. s0ERCENTOFPERFORMANCELAPORANDIKIRIMDIJADWALKAN
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
MEA01.01
Menetapkan pendekatan IC ARRR Saya CCCR I CC ICI Saya Saya
pemantauan.
MEA01.02
Tetapkan target kinerja Saya Saya saya AR Saya C CCRR IRI Saya Saya
dan kesesuaian.
MEA01.03
Mengumpulkan dan
CR Saya C RR IRI Saya Saya
MEA01.04
DENGAN C CCCCCRRCRCCC
Menganalisis dan melaporkan kinerja.
MEA01.05
Memastikan pelaksanaan tindakan Saya Saya Saya saya CR C CCCA CRRCRCCC
korektif.
Kegiatan
3. Menyelaraskan dan terus memelihara pendekatan pemantauan dan evaluasi dengan pendekatan perusahaan dan alat yang akan digunakan untuk pengumpulan data dan
pelaporan perusahaan (misalnya, aplikasi intelijen bisnis).
4. Menyetujui tujuan dan metrik (misalnya, kesesuaian, kinerja, nilai, risiko), taksonomi (klasifikasi dan hubungan antara tujuan dan metrik)
dan penyimpanan data (bukti).
5. Menyetujui manajemen siklus hidup dan proses kontrol perubahan untuk pemantauan dan pelaporan. Sertakan peluang peningkatan untuk pelaporan, metrik,
pendekatan, baseline dan benchmarking.
6. Meminta, memprioritaskan, dan mengalokasikan sumber daya untuk pemantauan (mempertimbangkan kesesuaian, efisiensi, efektivitas, dan kerahasiaan).
7. Secara berkala memvalidasi pendekatan yang digunakan dan mengidentifikasi pemangku kepentingan, persyaratan, dan sumber daya baru atau yang diubah.
Mengevaluasi
Memantau,
Menilai
dan
Kegiatan
1. Tetapkan dan tinjau secara berkala dengan pemangku kepentingan tujuan dan metrik untuk mengidentifikasi item yang hilang secara signifikan dan menentukan kewajaran target
dan toleransi.
2. Mengkomunikasikan perubahan yang diusulkan pada target dan toleransi kinerja dan kesesuaian (berkaitan dengan metrik) dengan pemangku kepentingan uji tuntas utama
(misalnya, hukum, audit, SDM, etika, kepatuhan, keuangan).
3. Publikasikan target dan toleransi yang diubah kepada pengguna informasi ini.
4. Mengevaluasi apakah tujuan dan metrik sudah memadai, yaitu spesifik, terukur, dapat dicapai, relevan, dan terikat waktu (SMART).
MEA01.03 Mengumpulkan dan memproses data kinerja dan Dari Keterangan Keterangan Ke
kesesuaian.
APO01.07 Penilaian kemampuan Data pemantauan yang diproses Internal
Kumpulkan dan proses data yang tepat waktu dan akurat selaras
proses
dengan pendekatan perusahaan.
APO05.04 Laporan kinerja portofolio
investasi
DSS02.07 s2EQUESTFULFILMENTSTATUS
dan laporan tren
s)NCIDENTSTATUSAND
laporan tren
Kegiatan
2. Menilai efisiensi (usaha dalam kaitannya dengan wawasan yang diberikan) dan kesesuaian (kegunaan dan makna) dan memvalidasi integritas (keakuratan dan kelengkapan)
data yang dikumpulkan.
!LIGNAGGREGATEDATATOPERUSAHAANPRISERPENDEKATANPENDEKATANTUJUAN
5. Gunakan alat dan sistem yang sesuai untuk pemrosesan dan format data untuk analisis.
: MENGAKTIFKAN PROSES
Segala hal
Kegiatan
1. Merancang laporan kinerja proses yang ringkas, mudah dipahami, dan disesuaikan dengan berbagai kebutuhan manajemen dan audiens. Memfasilitasi pengambilan keputusan yang
efektif dan tepat waktu (misalnya, kartu skor, laporan lampu lalu lintas) dan memastikan bahwa sebab dan akibat antara tujuan dan metrik dikomunikasikan dengan cara yang dapat
dimengerti.
2. Bandingkan nilai kinerja dengan target dan tolok ukur internal dan, jika memungkinkan, dengan tolok ukur eksternal (industri dan pesaing utama).
5. Menganalisis penyebab penyimpangan terhadap target, memulai tindakan perbaikan, menetapkan tanggung jawab untuk perbaikan, dan menindaklanjuti. Pada waktu yang tepat, tinjau semua
penyimpangan dan cari akar penyebab, jika perlu. Dokumentasikan masalah untuk panduan lebih lanjut jika masalah berulang. Hasil dokumen.
6. Jika memungkinkan, hubungkan pencapaian target kinerja dengan sistem kompensasi penghargaan organisasi.
Semua DSS
Segala hal
Kegiatan
2EVIEWMANAGEMENTRESPONSESOPTIONSANDRECOMMENDATIONSTOADDRESSMasalahSANDMAJORDEVIASI
)4),6 s
3ERVICE2EPORTING
s 3ERVICE-EASUREMENT
Area: Manajemen
MEA02 Memantau, Mengevaluasi dan Menilai Sistem Pengendalian Internal Domain: Memantau, Mengevaluasi, dan Menilai
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan peraturan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN FINTING dan
eksternal Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan Kepatuhan yang Diprioritaskan
RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN penilaian risiko
1. Proses, sumber daya dan informasi memenuhi persyaratan sistem pengendalian s0ERCENTOFPROCESSESDENGAN OUTPUTMETINGTARGET
internal perusahaan. TERJAMIN dalam toleransi s0ERCENTOFPROCESSESDIJAMIN
SESUAI DENGAN TARGET KONTROL INTERNAL
2. Semua inisiatif assurance direncanakan dan dilaksanakan secara efektif. s0ERCENTOFASSURANCEINITIATIVEFOLLOWINGAPPROVEDAS JAMINAN
program dan standar rencana
: MENGAKTIFKAN PROSES
Papan Eksklusif
tertinggi
Pejabat Keuangan
Bagian
Kepala Operating
Officer
Chief Eksekutif
bisnis Pemilik
Proses
Bisnis Eksekutif
Strategi
Komite 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
ANAGEMENT/
OFFICE
6ALUE-
Petugas
Kepala
Risiko Keamanan
Informasi
Petugas
Kepala
Arsitektur
Dewan
Perusahaan
Komite
Risiko Manusia
Sumber
Kepala
Daya Kepatuhan Audit Informasi
Petugas
Kepala Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer Kontinuitas
Manajer
Bisnis Petugas
Privasi
MEA02.01
DI SINI CR R R RRA I RRRRRRR
Memantau pengendalian internal.
MEA02.02
Meninjau efektivitas Saya IRI AR I Saya Saya RRC C CCC
pengendalian proses bisnis.
MEA02.03
Lakukan penilaian DI SINI CR R R RRA I RRRRRRR
mandiri kontrol.
MEA02.04
MEA02.05
Pastikan bahwa penyedia jaminan R TAHUN
independen dan berkualitas.
MEA02.06
SEBUAH CR C CCRCCCCCCCCC
Merencanakan inisiatif jaminan.
MEA02.07
RRR C CARCCCCCCCCC
Inisiatif jaminan ruang lingkup.
MEA02.08
Saya Saya CR C Saya Saya CARCCCCCCCCC
Jalankan inisiatif jaminan.
Semua DSS
Segala hal
Segala hal
Kegiatan
1. Melakukan kegiatan pemantauan dan evaluasi pengendalian internal berdasarkan standar tata kelola organisasi dan kerangka kerja yang diterima industri dan
praktek. Meliputi pemantauan dan evaluasi efisiensi dan efektivitas tinjauan pengawasan manajerial.
2. Pertimbangkan evaluasi independen dari sistem pengendalian internal (misalnya, oleh audit internal atau rekan-rekan).
)DENTIFIKASI BATASNYA)4SISTEM KONTROL INTERNAL misal: PERTIMBANGAN BAGAIMANA ORGANISASI)4 KONTROL INTERNAL PEMASANGAN KE AKUN OUTSOURCEDAND ATAU
pengembangan lepas pantai atau kegiatan produksi).
4. Memastikan bahwa aktivitas pengendalian ada dan pengecualian segera dilaporkan, ditindaklanjuti dan dianalisis, dan tindakan korektif yang tepat diprioritaskan dan
diterapkan sesuai dengan profil manajemen risiko (misalnya, mengklasifikasikan pengecualian tertentu sebagai risiko utama dan lainnya sebagai non- risiko utama).
5. Memelihara sistem pengendalian internal TI, dengan mempertimbangkan perubahan yang sedang berlangsung dalam bisnis dan risiko TI, lingkungan pengendalian organisasi, bisnis yang relevan
dan proses TI, dan risiko TI. Jika ada kesenjangan, evaluasi dan rekomendasikan perubahan.
Mengevaluasi
Memantau,
Menilai
dan
6. Secara teratur mengevaluasi kinerja kerangka kontrol TI, membandingkan dengan standar yang diterima industri dan praktik yang baik. Mempertimbangkan
adopsi formal pendekatan perbaikan terus-menerus untuk pemantauan pengendalian internal.
!SSESTATUSPenyedia LAYANAN EKSTERNAL KONTROL INTERNAL DAN KONFIRMASI BAHWA PENYEDIA LAYANAN MEMATUHI LEGAL DAN PERSYARATAN PERATURANDAN
kewajiban kontrak.
Kegiatan
2. Identifikasi kontrol utama dan kembangkan strategi yang cocok untuk memvalidasi kontrol.
3. Mengidentifikasi informasi yang secara persuasif akan menunjukkan apakah lingkungan pengendalian internal beroperasi secara efektif.
4. Mengembangkan dan menerapkan prosedur hemat biaya untuk menentukan bahwa informasi persuasif didasarkan pada kriteria informasi.
Semua DSS
Segala hal
Kegiatan
1. Mempertahankan rencana dan ruang lingkup dan mengidentifikasi kriteria evaluasi untuk melakukan penilaian mandiri. Rencanakan komunikasi hasil penilaian diri
proses untuk bisnis, TI dan manajemen umum dan dewan. Pertimbangkan standar audit internal dalam desain penilaian mandiri.
2. Menentukan frekuensi penilaian mandiri secara berkala, dengan mempertimbangkan keseluruhan efektivitas dan efisiensi pemantauan berkelanjutan.
!TANDA TANGGUNG JAWAB UNTUK PENILAIAN DIRI UNTUK SESUATU YANG TEPAT PASTI OBJEKTIFITAS DAN KOMPETENSI
0ROVIDEFORINDEPENDENTREVIEWSTOENSUREOBJEKTIVITAS PENILAIAN DIRI SENDIRI DAN AKTIFKANBERBAGI PENGENDALIAN INTERNAL PRAKTEK BAIK DARI
perusahaan lain.
5. Bandingkan hasil penilaian diri dengan standar industri dan praktik yang baik.
6. Meringkas dan melaporkan hasil penilaian diri dan benchmarking untuk tindakan perbaikan.
7. Tetapkan pendekatan yang disepakati dan konsisten untuk melakukan penilaian diri pengendalian dan koordinasi dengan auditor internal dan eksternal.
: MENGAKTIFKAN PROSES
Kegiatan
1. Mengidentifikasi, melaporkan dan mencatat pengecualian kontrol, dan menetapkan tanggung jawab untuk menyelesaikannya dan melaporkan statusnya.
2. Pertimbangkan risiko perusahaan terkait untuk menetapkan ambang batas untuk eskalasi pengecualian dan kerusakan kontrol.
3. Komunikasikan prosedur untuk eskalasi pengecualian kontrol, analisis akar penyebab, dan pelaporan kepada pemilik proses dan pemangku kepentingan TI.
4. Putuskan pengecualian kontrol mana yang harus dikomunikasikan kepada individu yang bertanggung jawab atas fungsi tersebut dan pengecualian mana yang harus ditingkatkan.
Beri tahu pemilik proses dan pemangku kepentingan yang terpengaruh.
5. Tindak lanjuti semua pengecualian untuk memastikan bahwa tindakan yang disepakati telah ditangani.
6. Mengidentifikasi, memulai, melacak dan mengimplementasikan tindakan perbaikan yang timbul dari penilaian dan pelaporan pengendalian.
MEA02.05 Pastikan bahwa penyedia jaminan independen Hasil evaluasi penyedia Intern
dan berkualitas. asurans
Memastikan bahwa entitas yang melakukan assurance
independen dari fungsi, kelompok, atau organisasi dalam ruang
lingkupnya. Entitas yang melakukan assurance harus menunjukkan
sikap dan penampilan yang sesuai, kompetensi dalam keterampilan
dan pengetahuan yang diperlukan untuk melakukan assurance, dan
kepatuhan terhadap kode etik dan standar profesional.
Kegiatan
1. Menetapkan kepatuhan terhadap kode etik dan standar yang berlaku (misalnya, Kode Etik Profesional ISACA) dan (khusus industri dan geografi)
ASSURANCESTANDARDSE G )4!UDITAND!SURANCE3TANDARDSOF)3!#!DANTHE)INTERNATIONAL!UDITINGAND!SURANCE3TANDARDS"OARD S )!!3" SInternational
Framework for Assurance Engagement (IAASB Assurance Framework).
Semua DSS
Segala hal
Kegiatan
$ETERMINEHEINTENDEDUSERSOFTHEASSURANCEINITIATIVEOUTPUTANDHEOBJECTTINJAUAN
0ERFORMASI PENILAIAN RISIKO TINGKAT TINGGIDAN PENILAIAN ORAS KEMAMPUAN UNTUK DIAGNOSERISKIDENTIFIKASIKRITIS)4PROSES
Kegiatan
1. Tentukan ruang lingkup aktual dengan mengidentifikasi tujuan perusahaan dan TI untuk lingkungan yang ditinjau, rangkaian proses dan sumber daya TI, dan semua
entitas yang dapat diaudit yang relevan di dalam perusahaan dan di luar perusahaan (misalnya, penyedia layanan), jika berlaku.
3. Tetapkan praktik untuk mengumpulkan dan mengevaluasi informasi dari proses yang sedang ditinjau untuk mengidentifikasi kontrol yang akan divalidasi, dan temuan saat ini (kepastian
positif dan kekurangan apa pun) untuk evaluasi risiko.
4. Tetapkan praktik untuk memvalidasi desain dan hasil pengendalian dan tentukan apakah tingkat efektivitas mendukung risiko yang dapat diterima (diperlukan oleh
penilaian risiko organisasi atau proses).
5. Jika efektivitas pengendalian tidak dapat diterima, tentukan praktik untuk mengidentifikasi risiko residual (dalam persiapan untuk pelaporan).
Segala hal
Kegiatan
2EFINETHEPENGERJAAN)4ASSURANCESUBJECT
2EFINETHESCOPEOFKEYCONTROLOBJECTIVESFORTHE)4ASSURANCESUBJECT
4ESTHEEFECTIVENESSOFTDESIGNOFTHEKEYCONTROLOBJECTIVES !LTERNATIF
6. Berkomunikasi dengan manajemen selama pelaksanaan inisiatif sehingga ada pemahaman yang jelas tentang pekerjaan yang dilakukan dan kesepakatan tentang dan
penerimaan temuan awal dan rekomendasi.
3 AKTIVITAS JAMINAN UPERVISETDAN PASTIKAN PEKERJAAN SELESAIKAN TUJUAN SANDISOFANAKUALITAS YANG DAPAT DITERIMA
8. Memberikan laporan kepada manajemen (sesuai dengan kerangka acuan, ruang lingkup dan standar pelaporan yang disepakati) yang mendukung hasil inisiatif dan memungkinkan fokus
yang jelas pada isu-isu kunci dan tindakan penting.
.SATU
: MENGAKTIFKAN PROSES
Area: Manajemen
MEA03 Memantau, Mengevaluasi, dan Menilai Kepatuhan terhadap Persyaratan Eksternal Domain: Memantau, Mengevaluasi, dan Menilai
Deskripsi Proses
Mengevaluasi bahwa proses TI dan proses bisnis yang didukung TI sesuai dengan undang-undang, peraturan, dan persyaratan kontrak. Dapatkan jaminan
bahwa persyaratan telah diidentifikasi dan dipatuhi, dan integrasikan kepatuhan TI dengan kepatuhan perusahaan secara keseluruhan.
02 Kepatuhan dan dukungan TI untuk kepatuhan bisnis terhadap hukum dan S#ostof) 4Non KEPERCAYAAN INTERLUDUDINGSTLEMENSI DAN
peraturan eksternal FINTING dan Dampak Reputasi S. Bumbuan) 4 Terkait Kepatuhan
Kepatuhan yang Diprioritaskan
RELATEDINCIDENTSTHATWERENOTIDENTIFIEDIN penilaian risiko
Papan #HIEF%XECUTIVE/
FFICER #HIEF&INANCIAL/
FFICER PERATING/
FFICER
#HIEF/ Eksekutif
bisnis "USINESS0PROCESS/
WNERS 3TRATEGY%XECUTIVE#OMMITTEE 0ROJECTS#OMMITTEE
0ROGRAMMES
3TEERING ANAGEMENT/
0ROJECT-
OFFICE
Manajemen
Kantor
Nilai
#HIEF2ISK/
FFICER #HIEF)NFORMATION3ECURITY/
FFICER
Arsitektur
Dewan
%NTERPRISE2ISK#OMMITTEE (EAD(SUMBER
UMAN2 PENGANTAR
#KATA
Audit #HIEF)NFORMASI/
FFICER Arsitek
Kepala Pengembangan
Kepala Operasi
Kepala
TI Administrasi
Kepala
TI Pelayanan
Manajer Keamanan
Informasi
Manajer "USINESS#ONTINUITY-
ANAGER 0RIVACY/
FFICER
Memantau
Mengeval
Menilai
dan MEA03.02
Mengoptimalkan respons
terhadap persyaratan eksternal.
MEA03.03
#ONFIRMEXTERNALCOMPLIANCE
MEA03.04
Dapatkan jaminan
222 A 2 I
#
222 saya 2222222
AI 2#######2
# A 2########
kepatuhan eksternal.
: MENGAKTIFKAN PROSES
Kegiatan
1. Tetapkan tanggung jawab untuk mengidentifikasi dan memantau setiap perubahan persyaratan hukum, peraturan, dan kontrak eksternal lainnya yang relevan dengan penggunaan
Sumber daya TI dan pemrosesan informasi dalam bisnis dan operasi TI perusahaan.
2. Mengidentifikasi dan menilai semua persyaratan kepatuhan potensial dan dampaknya terhadap aktivitas TI di bidang-bidang seperti aliran data, privasi, kontrol internal, keuangan
pelaporan, peraturan khusus industri, kekayaan intelektual, kesehatan dan keselamatan.
3. Menilai dampak persyaratan hukum dan peraturan terkait TI pada kontrak pihak ketiga yang terkait dengan operasi TI, penyedia layanan, dan bisnis
mitra dagang.
4. Dapatkan penasihat independen, jika perlu, tentang perubahan undang-undang, peraturan, dan standar yang berlaku.
5. Memelihara log up-to-date dari semua persyaratan hukum, peraturan dan kontrak yang relevan, dampaknya dan tindakan yang diperlukan.
6. Memelihara daftar keseluruhan persyaratan kepatuhan eksternal yang harmonis dan terintegrasi untuk perusahaan.
yang baik, dan panduan praktik terbaik untuk adopsi dan adaptasi. persyaratan kepatuhan Semua APO
Semua DSS
Segala hal
Kegiatan
2 TINJAUAN SECARA TERATUR DAN SESUAI KEBIJAKAN PRINSIP TANPA STANDAR PROSEDUR DAN METODOLOGIUNTUK EFEKTIFNYA SIN MEMASTIKANPERLU KEPATUHAN
dan menangani risiko perusahaan dengan menggunakan pakar internal dan eksternal, sebagaimana diperlukan.
2. Mengkomunikasikan persyaratan baru dan yang diubah kepada semua personel terkait.
Kegiatan
1. Secara teratur mengevaluasi kebijakan, standar, prosedur, dan metodologi organisasi di semua fungsi perusahaan untuk memastikan kepatuhan terhadap
persyaratan hukum dan peraturan yang relevan terkait dengan pemrosesan informasi.
2. Mengatasi kesenjangan kepatuhan dalam kebijakan, standar dan prosedur secara tepat waktu.
3. Secara berkala mengevaluasi proses dan aktivitas bisnis dan TI untuk memastikan kepatuhan terhadap persyaratan hukum, peraturan, dan kontrak yang berlaku.
4. Tinjau secara teratur untuk pola kegagalan kepatuhan yang berulang. Bila perlu, perbaiki kebijakan, standar, prosedur, metodologi, dan
proses dan aktivitas yang terkait.
Kegiatan
1. Mendapatkan konfirmasi kepatuhan secara berkala terhadap kebijakan internal dari pemilik bisnis dan proses TI serta kepala unit.
2. Lakukan tinjauan internal dan eksternal secara teratur (dan, jika perlu, independen) untuk menilai tingkat kepatuhan.
3. Jika diperlukan, dapatkan pernyataan dari penyedia layanan TI pihak ketiga tentang tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku.
4. Jika diperlukan, dapatkan pernyataan dari mitra bisnis tentang tingkat kepatuhan mereka terhadap hukum dan peraturan yang berlaku yang terkait dengan antarperusahaan
transaksi elektronik.
5. Pantau dan laporkan masalah ketidakpatuhan dan, jika perlu, selidiki akar masalahnya.
6. Mengintegrasikan pelaporan tentang persyaratan hukum, peraturan dan kontrak di tingkat perusahaan, yang melibatkan semua unit bisnis.
.SATU
: MENGAKTIFKAN PROSES
LAMPIRAN A
PEMETAAN ANTARA COBIT 5 DAN KERANGKA ISACA LEGACY
COBIT 4.1
Peta ke
Tujuan Kontrol
COBIT 5
Val IT 2.0
Pemerintahan dan
Manajemen Kunci Peta ke
Pengelolaan
Praktek
Praktek
Risiko TI
Pengelolaan Peta ke
Praktek
Pemetaan komponen COBIT 4.1, Val IT dan Risk IT ke COBIT 5 ditunjukkan pada gambar 14, 15 dan 16.
AC1 Persiapan dan Otorisasi Data Sumber DSS06.02; DSS06.03; BAI03.02; BAI03.03; BAI03.05; BAI03.07
217
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
PO4.8 Tanggung Jawab untuk Risiko, Keamanan, dan Kepatuhan Dihapus—peran khusus ini tidak lagi ditetapkan secara eksplisit
sebagai praktik.
0ROJECT0LANNINGOF!SURANCE-ETHODS BAI01.08
Bisnis
AI2.5 Konfigurasi dan Implementasi Perangkat Lunak Aplikasi yang Diperoleh BAI03.03; BAI03.05
219
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
220
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
LAMPIRAN A
PEMETAAN ANTARA COBIT 5 DAN KERANGKA ISACA LEGACY
DS8.1 Meja pelayanan Dihapus—ITIL 3 tidak merujuk ke Service Desk sebagai proses.
: MENGAKTIFKAN PROSES
ME4.2 Keselarasan Strategis Dihapus—Dalam COBIT 5, penyelarasan dianggap sebagai hasil dari
semua kegiatan tata kelola dan manajemen.
Gambar 15—Praktik Manajemen Utama Val IT 2.0 yang Dicakup oleh COBIT 5
Praktik Manajemen Kunci Val IT 2.0 Dicakup dalam COBIT 5 oleh:
6' Pastikan keselarasan dan integrasi strategi bisnis dan TI dengan tujuan APO02.01
bisnis utama.
6' Mengembangkan dan mengkomunikasikan kriteria evaluasi (untuk setiap kategori). EDM02.02
6' Tetapkan persyaratan untuk gerbang panggung dan ulasan lainnya EDM02.02
(untuk setiap kategori).
6' Menerapkan praktik perencanaan keuangan yang optimal untuk manajemen nilai. APO06.01
PM1.1 Meninjau dan memastikan kejelasan strategi dan tujuan bisnis. APO05.01
Gambar 15—Praktik Manajemen Utama Val IT 2.0 yang Dicakup oleh COBIT 5 (lanjutan)
PM1.4 Menerjemahkan strategi dan tujuan bisnis ke dalam strategi dan tujuan TI. APO05.01
PM3.1 Membuat dan memelihara inventaris sumber daya manusia bisnis. APO07.01
PM3.2 Memahami permintaan saat ini dan masa depan (untuk sumber daya APO07.01
manusia bisnis).
PM3.2 Identifikasi kekurangan (antara permintaan sumber daya manusia bisnis saat APO07.01
ini dan masa depan).
PM3.4 Membuat dan memelihara rencana taktis (untuk sumber daya manusia bisnis). APO07.01
PM3.6 Membuat dan memelihara inventaris sumber daya manusia TI. APO07.05
PM3.7 Memahami permintaan saat ini dan masa depan (untuk sumber daya manusia TI). APO07.05
PM3.9 Membuat dan memelihara rencana taktis (untuk sumber daya manusia TI). APO07.05
PM4.1 Mengevaluasi dan menetapkan skor relatif untuk kasus bisnis program. APO05.03
PM4.4 Tentukan gerbang panggung dan alokasikan dana untuk program yang dipilih. APO05.03
223
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
RG2.1 Menetapkan dan memelihara akuntabilitas untuk manajemen risiko TI. EDM03.02
RG2.4 Menyediakan sumber daya yang memadai untuk manajemen risiko TI. EDM04.01; APO07.01; APO07.03
RG3.1 Dapatkan dukungan manajemen untuk pendekatan analisis risiko TI. EDM01.01-02; EDM03.02
RG3.3 Menanamkan pertimbangan risiko TI dalam pengambilan keputusan bisnis strategis. EDM03.01
RR2.2 Pantau keselarasan operasional dengan ambang batas toleransi risiko. APO12.05
224
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
LAMPIRAN B
PEMETAAN RINCI TUJUAN PERUSAHAAN — TUJUAN TERKAIT TI
LAMPIRAN B
PEMETAAN RINCI TUJUAN PERUSAHAAN — TUJUAN TERKAIT TI
Kaskade COBIT 5 goal dijelaskan pada bab 2. Gambar 17 berisi: s)NTECOLUMNSALL
GENERICENTERPRISEGOALSDEFINEDIN#/")4 DIGROUPEDBY"3#DIMENSION s)NTHEROWSALL )4
RELATEDGOALSALSOGROUPEDIN)4"3#DIMENSIGOIS4DIMENSI PIKIRAN PRISEWMAPCHINGOF : – 'P' singkatan dari
primary, ketika ada hubungan penting, yaitu, tujuan terkait TI adalah dukungan utama untuk
tujuan perusahaan.
– 'S' singkatan dari sekunder, ketika masih ada hubungan yang kuat, tetapi kurang penting, yaitu, tujuan terkait TI adalah
dukungan sekunder untuk tujuan perusahaan.
: MENGAKTIFKAN PROSES
Saat menggunakan tabel pada gambar 17, harap pertimbangkan komentar yang dibuat di bab 2 tentang cara menggunakan
kaskade tujuan COBIT 5.
kepentingan
pemangku
investasi
bisnis
Nilai
dari kompetitif
Portofolio
layanan
produk
yang
dan (pengamanan
dikelola
Risiko
bisnis
aset)
yang Kepatuhan
peraturan
eksternal
terhadap
hukum
dan Transparansi
keuangan berorientasi
pelanggan
layanan
Budaya ketersediaan
Kontinuitas
layanan
bisnis
dan Pengambilan
keputusan
informasi
berbasis
strategis Optimalisasi
pengiriman
layanan
biaya fungsionalitas
Optimalisasi
proses
bisnis Optimalisasi
proses
bisnis
biaya perubahan
terkelola
Program
bisnis Produktivitas
operasional
dan
staf Kepatuhan
kebijakan
internal
dengan termotivasi
terampil
Orang-
orang
yang
dan Budaya
produk
inovasi
bisnis
dan
Tanggapan
lingkungan
terhadap
berubah
tangkas
bisnis
yang
Belajar
dan
Tujuan terkait TI Keuangan Pelanggan Intern Pertumbuhan
Pelanggan
06 Transparansi biaya, manfaat dan risiko TI S S P SP P
07 Penyampaian layanan TI sesuai dengan PPSS PSPS PSS SS
kebutuhan bisnis
09 kelincahan TI SPS S P P SS SP
10 Keamanan informasi, infrastruktur PP P P
pemrosesan dan aplikasi
11 Optimalisasi aset, sumber daya, dan PS S PSPSS S
kemampuan TI
Intern
SS
dan
Sedang
belajar
Pertumbuhan
15 Kepatuhan TI dengan kebijakan internal P
226
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
LAMPIRAN C
PEMETAAN RINCI TUJUAN TERKAIT — PROSES TERKAIT TI
LAMPIRAN C
PEMETAAN RINCI TUJUAN TERKAIT — PROSES TERKAIT TI
Gambar 18 berisi:
s)NTHECOLUMNSALL GENERIC)4 TUJUAN TERKAITSDEFINEDINCHAPTER GROUPEDIN)4"3#DIMENSI
s)NTHEROWSALL #/")4 PROSESGROUPEDBYDOMAIN
s!MAPPINGOFHOWEACH)4 RELATEDGOALISSDIDUKUNG BYA#/")4 )4 RELATEDPROCESS 4HISMAPINGISEXPRESSED
menggunakan skala berikut:
– 'P' singkatan dari primary, ketika ada hubungan penting, yaitu proses COBIT 5 adalah dukungan utama untuk
pencapaian tujuan terkait TI.
– 'S' singkatan dari secondary, ketika masih ada hubungan yang kuat, tetapi kurang penting, yaitu, proses COBIT 5 adalah
dukungan sekunder untuk tujuan terkait TI.
Saat menggunakan tabel pada gambar 18, harap pertimbangkan komentar yang dibuat di bab 2 tentang cara menggunakan
kaskade gol COBIT 5.
Penyelarasan
strategi
bisnis
dan
TI
kepatuhan
Kepatuhan
peraturan
eksternal
dukungan
dengan
hukum
bisnis
untuk
dan
dan
TI manajemen
Komitmen
membuat
eksekutif
untuk keputusan
terkait
TI dikelola
terkait
Risiko
bisnis
yang
TI
mendukung
portofolio
investasi
Realisasi
layanan
manfaat
yang
dan
dari
TI Transparansi
manfaat,
biaya,
risiko
dan
TI
Pengiriman
kebutuhan
layanan
dengan
sesuai
bisnis
TI
Penggunaan
informasi,
memadai
teknologi
aplikasi,
solusi
yang
dan
kelincahan
TI pemrosesan,
infrastruktur
Keamanan
informasi,
aplikasi
dan kemampuan
Optimalisasi
sumber
daya,
aset,
dan
TI mengintegrasikan
Pemberdayaan
dukungan
teknologi
aplikasi
dengan
proses
dalam
bisnis
proses
bisnis
dan
dan
ke Penyampaian
persyaratan
memberikan
memenuhi
anggaran,
manfaat,
kualitas
standar
program
sesuai
waktu,
tepat
yang
dan
dan
pengambilan
Ketersediaan
keputusan
informasi
berguna
untuk
andal
yang
dan
membuat Kepatuhan
kebijakan
internal
dengan
TI termotivasi
kompeten
Personil
bisnis
yang
dan
dan
TI Pengetahuan,
keahlian,
inovasi
inisiatif
bisnis
untuk
dan
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Belajar
dan
Proses COBIT 5 Keuangan Pelanggan Intern Pertumbuhan
227
Salinan Pribadi: Tuan Dong Hong Wang
Machine Translated by Google
: MENGAKTIFKAN PROSES
Penyelarasan
strategi
bisnis
dan
TI
kepatuhan
Kepatuhan
peraturan
eksternal
dukungan
dengan
hukum
bisnis
untuk
dan
dan
TI manajemen
keputusan
Komitmen
membuat
eksekutif
terkait
untuk
TI dikelola
terkait
Risiko
bisnis
yang
TI
mendukung
portofolio
investasi
Realisasi
layanan
manfaat
yang
dan
dari
TI Transparansi
manfaat,
biaya,
risiko
dan
TI
Pengiriman
kebutuhan
layanan
dengan
sesuai
bisnis
TI
Penggunaan
informasi,
memadai
teknologi
aplikasi,
solusi
yang
dan
kelincahan
TI pemrosesan,
infrastruktur
Keamanan
informasi,
aplikasi
dan kemampuan
Optimalisasi
sumber
daya,
aset,
dan
TI mengintegrasikan
Pemberdayaan
dukungan
teknologi
aplikasi
dengan
proses
dalam
bisnis
proses
bisnis
dan
dan
ke Penyampaian
persyaratan
memberikan
memenuhi
anggaran,
manfaat,
kualitas
standar
program
sesuai
waktu,
tepat
yang
dan
dan
pengambilan
Ketersediaan
keputusan
informasi
berguna
untuk
andal
yang
dan
Kepatuhan
kebijakan
internal
dengan
TI termotivasi
kompeten
Personil
bisnis
yang
dan
dan
TI Pengetahuan,
keahlian,
inovasi
inisiatif
bisnis
untuk
dan
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Belajar
dan
Proses COBIT 5 Keuangan Pelanggan Intern Pertumbuhan
APO01 Kelola TI PP SS S PS P S S S PP P
Kerangka Manajemen
APO02 Kelola Strategi P SSS P SS S S S S SS P
APO03 Kelola Perusahaan P SSSSS SPS P S S S
Arsitektur
APO04 Kelola Inovasi S SP PP P S S P
P SSPSS SS S P S
Rencanakan,
Sejajarkan,
Atur
dan
Implementasikan
Dapatkan,
Bangun,
dan
228
Salinan Pribadi: Tuan Dong Hong Wang
Salinan Pribadi: Tuan Dong Hong Wang
229
Persyaratan Eksternal
S S S S PS P Nilai Kepatuhan Dengan
MEA03 Memantau, Mengevaluasi dan
Pengendalian Internal
S SP S S SS P P Menilai Sistem
MEA02 Memantau, Mengevaluasi dan
Memantau,
Mengevaluasi
dan
Menilai
Kesesuaian
S PS S S P SS SPSSP SS Menilai Kinerja dan
MEA01 Memantau, Mengevaluasi dan
Kontrol
S SS S S S S S P P S DSS06 Kelola Proses Bisnis
SS S S P S S P DSS05 Kelola Layanan Keamanan SP
P SS S S S SS P PS SS DSS04 Kelola Kontinuitas
S PS S P SS P PS S DSS03 Kelola Masalah
dan Insiden
Kirim,
Layanan,
dan
Dukungan
: MENGAKTIFKAN PROSES