1

BAB 2

LANDASAN TEORI

2.1 Pengertian Data

Turner dan Weickgenannt (2013: 542) mendefinisikan data sebagai kumpulan

fakta-fakta dari transaksi-transaksi. O'Brien dan Marakas (2013: 683)

mendeskripsikan data sebagai fakta-fakta atau observasi mengenai fenomena fisik

atau transaksi bisnis. Rainer, Prince & Cegielski (2015: 11) mengatakan bahwa data

merujuk pada deskripsi hal-hal mendasar, kejadian, kegiatan, dan transaksi yang

dicatat, dikelompokkan, dan disimpan namun tidak terorganisir untuk menyampaikan

suatu makna apapun. Hall (2016: 10) mengatakan data merupakan fakta-fakta yang

mungkin sudah diproses atau mungkin belum diproses (diedit, diringkas, atau

diperhalus) dan tidak memiliki efek langsung kepada tindakan pengguna.

Dapat disimpulkan bahwa data adalah fakta-fakta dan deskripsi hal-hal

mendasar dari kejadian, transaksi, dan kegiatan yang disimpan dan tidak memiliki

makna kepada pengguna.

2.2 Pengertian Informasi

Menurut O’Brien & Marakas (2013: 32), informasi dapat didefinisikan

sebagai data yang telah diubah kedalam konteks yang memiliki arti dan berguna

untuk para pengguna informasi. Menurut Rainer, Prince & Cegielski (2015: 385)

mengatakan bahwa informasi merupakan data yang telah diorganisir sehingga

memiliki arti dan nilai kepada penggunanya. Menurut Hall (2016: 10), informasi

menjadi pemicu pengguna untuk mengambil suatu tindakan yang mendukung dalam

tugas harian bisnis, penyelesaian masalah, dan perencanaan untuk masa depan.

Dari pernyataan para ahli di atas maka dapat disimpulkan bahwa informasi

merupakan data yang telah diolah sehingga memiliki arti dan dapat digunakan untuk

mengambil tindakan.

2.3 Pengertian Sistem

Menurut O’Brien & Marakas (2012: 29) menyatakan bahwa yang dimaksud

dengan sistem adalah sekumpulan komponen yang saling berkaitan satu sama lain,

yang memiliki batasan–batasan tertentu yang jelas. Sistem dapat saling bekerja sama

dalam mencapai tujuan, dengan cara menerima input dan menghasilkan output dalam

suatu proses yang terorganisir. Hall (2013: 782) mendefinisikan sistem sebagai, suatu

kelompok yang terdiri dari dua atau lebih komponen atau subsistem yang saling

berhubungan satu sama lain yang memiliki tujuan tertentu. Sistem adalah sebuah

kumpulan komponen-komponen yang berhubungan dan bekerja sama untuk

mencapai suatu tujuan (Brown et al 2012, p. 330).

Kesimpulannya, sistem adalah sekelompok komponen yang berkaitan, yang

memiliki tujuan tertentu, memiliki batasan tertentu, menerima input, dan

menghasilkan output dalam proses yang terorganisir.

2.4 Pengertian Sistem Informasi

Sistem informasi merupakan perangkat elemen atau komponen yang terkait

satu sama lain, yang mengumpulkan, mengolah, menyimpan dan menyebarkan data

dan informasi, serta mampu memberikan feedback untuk memenuhi tujuan suatu

organisasi (Stair & Reynolds, 2010).

Menurut Laudon dan Laudon (2010) sistem informasi adalah komponen yang

saling bekerja untuk mengumpulkan, mengolah, menyimpan dan menyebarkan

informasi untuk mendukung kegiatan suatu organisasi, seperti pengambilan

keputusan, koordinasi, pengendalian, analisis masalah, dan juga visualisasi dari

organisasi.

Sistem Informasi menurut Hall (2016: 5) adalah seperangkat prosedur yang

tersusun secara formal dimana data-data dikumpulkan, disimpan, diproses menjadi

informasi, dan didistribusikan kepada para pengguna sistem informasi tersebut.

Menurut (Brown et al, 2012, p. 330) sistem informasi dapat didefinisikan

sebagai sebuah kumpulan dari teknologi informasi, prosedur, dan orang orang yang

bertanggung jawab dalam menangkap, memindahkan, mengatur, dan menyebarkan

data serta informasi.

Dari beberapa pengertian sistem informasi diatas, maka dapat disimpulkan

bahwa sistem informasi merupakan komponen-komponen berupa data yang

terintegrasi dan memiliki prosedur dengan tujuan tertentu untuk menampilkan

informasi yang bermanfaat bagi para penggunanya.

2.5 Pengertian Teknologi Informasi

Menurut Rainer, Prince dan Cegielski (2015: 6), teknologi informasi terkait

dengan semua alat berbasis komputer yang digunakan untuk bekerja dengan

informasi, mendukung informasi, dan pemrosesan informasi kebutuhan organisasi.

Menurut Turner & Weickgenannt (2013: 8), teknologi informasi didefinisikan

sebagai komputer-komputer, peralatan tambahan, perangkat lunak, layanan-layanan,

dan sumber daya terkait yang diterapkan untuk mendukung proses bisnis.

Dari pendapat diatas, dapat disimpulkan bahwa teknologi informasi

merupakan komputer, peralatan, perangkat lunak, layanan, dan sumber daya terkait

untuk mendukung proses bisnis, dan mengumpulkan serta memproses informasi.

2.6 Pengertian IT Governance

ISACA (2012) mendefinisikan IT Governance “as a Structure of

relationships and processes to direct and control the enterprise in order to achieve

the enterprise’s goals by value while balancing risk versus return over IT and its

processes”.

Menurut Weill & Ross (2004, p.14) Good IT Governance adalah keputusan

harmonisasi tentang pengelolaan dan penggunaan IT dengan perilaku yang

diinginkan dan tujuan bisnis. Tanpa struktur pemerintahan yang dirancang dan

dilaksanakan dengan teliti, perusahaan akan meninggalkan keselarasan untuk

kesempatan.

Menurut Turner (2013, p. 21) tata kelola adalah sebuah kepemimpinan,

struktur organisasi dan proses yang memastikan bahwa perusahaan akan mencapai

tujuannya dengan meningkatkan nilai yang menyeimbangkan risiko yang disesuaikan

kembali dengan TI dan prosesnya.

Dari hasil pengertian IT Governance diatas maka dapat disimpulkan bahwa

IT Governance adalah suatu komitmen, proses pengendalian manajemen organisasi

terhadap sumber daya TI yang memiliki nilai investasi yang sesuai dengan tujuan

bisnis perusahaan tersebut.

2.7 Kerangka Kerja COBIT 5

Menurut ISACA (2012: 15), COBIT 5 merupakan panduan ISACA yang

membahas mengenai tata kelola dan manajemen TI dan semua yang berhubungan,

yang dimulai dari memenuhi kebutuhan para stakeholder akan informasi dan

teknologi.

COBIT 5 menyediakan kerangka kerja yang mudah dipahami dan mampu

membantu perusahaan dalam mencapai tujuan tata kelola dan manajemen TI. COBIT

5 dapat membantu perusahaan untuk menciptakan nilai secara optimal melalui TI

dengan menjaga keseimbangan antara pemberian manfaat dan mengoptimalisasi

tingkat risiko dan penggunaan sumber daya. COBIT 5 memiliki 2 (dua) area utama

yaitu area tata kelola (governance) dan manajemen (management). Pengaturan tata

kelola mengatur terkait hal-hal yang ditentukan melalui pendefinisian strategi dan

kontrol. Sedangkan pengelolaan (manajemen) mengatur terkait bagaimana tata kelola

tersebut dari pengelolaan yang ditentukan melalui rencana. COBIT 5 juga dapat

digunakan oleh segala bentuk perusahaan, baik yang bersifat komersial, non-profit,

ataupun perusahaan sektor publik.

2.7.1 Prinsip-prinsip COBIT 5

Dalam melaksanakan evaluasi tata kelola TI dibutuhkan prinsip-

prinsip yang dapat mendukung jalannya evaluasi dengan baik. Begitu pula

dengan COBIT 5 yang telah menjabarkan prinsip-prinsip yang diperlukan

dalam menjalankan evaluasi menggunakan kerangka kerja ini yang

diterangkan dalam gambar 2.1.

Gambar 2. 1 Prinsip-prinsip COBIT 5

COBIT 5 memiliki 5 prinsip untuk tata kelola dan manajemen

perusahan TI yaitu:

1. Meeting Stakeholder Needs

Pada prinsip ini COBIT 5 menyediakan semua proses yang diperlukan

dan juga enablers guna mendukung pembentukan nilai bisnis melalui

kegunaan TI. Tujuan dari COBIT 5 adalah menerjemahkan kebutuhan

para pemangku kepentingan (stakeholder) menjadi tujuan yang

spesifik dan disesuaikan dengan konteks organisasi serta tujuan dan

sasaran organisasi.

2. Covering the Enterprise End-to-end

Pada prinsip ini COBIT 5 menyarankan mengintegrasikan tata kelola

TI dengan tata kelola organisasi. COBIT 5 tidak hanya fokus pada

pengelolaan fungsi TI tapi juga menganggap teknologi informasi

sebagai sebuah aset yang harus dilindungi.

3. Applying a Single, Integrated Framework

Pada prinsip ini menjelaskan bahwa COBIT 5 berhubungan dengan

standard relevan dan kerangka kerja high level lainnya, dan yang

mampu menyajikan keseluruhan kerangka kerja untuk tata kelola dan

manajemen TI. memberikan deskripsi grafis mengenai bagaimana

COBIT 5 mencapai perannya dalam meluruskan dan mengintegrasi

kerangka kerja.

4. Enabling a Holistic Approach

Pada prinsip ini menjelaskan bahwa COBIT 5 mendefinisikan

sekumpulan enablers untuk mendukung implementasi dari sistem tata

kelola dan manajemen yang menyeluruh pada perusahaan. Enablers

secara luas dapat dijelaskan sebagai segala sesuatu yang dapat

membantu pencapaian tujuan perusahaan.

5. Separating Governance from Management

Pada prinsip ini menjelaskan bahwa Kerangka kerja COBIT 5

membuat perbedaan yang jelas antara governance dan manajemen.

Kedua hal ini mengarah kepada perbedaan tipe aktivitas, perbedaan

struktur organisasi dan menyediakan tujuan yang berbeda. Pandangan

COBIT 5 terhadap perbedaan antara governance dan manajemen yaitu

governance memastikan bahwa kebutuhan stakeholder, kondisi dan

opsi telah dievaluasi untuk memastikan keseimbangan, pencapaian

tujuan perusahaan; memberikan arahan melalui prioritas dan decision

making; dan mengawasi kinerja dan kepatuhan terhadap arahan dan

tujuan yang telah disetujui.

2.7.2 Tujuan dari COBIT 5

COBIT 5 membantu perusahaan dalam membentuk nilai optimal

melalui teknologi informasi (TI) dengan menjaga keseimbangan antara

mewujudkan manfaat dan mengoptimalkan tingkat risiko dan penggunaan

sumber daya. Kerangka kerja ini ditujukan untuk area fungsional bisnis

maupun TI dalam suatu organisasi dan mempertimbangkan kepentingan

internal maupun eksternal teknologi informasi para stakeholder.

COBIT 5 menyediakan kerangka kerja yang lengkap dan mampu

membantu perusahaan dalam mencapai tujuan-tujuannya dalam tata kelola

dan manajemen TI perusahaan. COBIT 5 kerangka kerja utama yang dibuat

oleh dan untuk para praktisi dan termasuk didalamnya pandangan dari TI

dan literatur umum manajemen, termasuk konsep dan model seperti

strategic alignment, balance scorecard, pemahaman TI dan sistem

organisasi (De Haes, Van Grembergen, & Debreceny, 2013)

COBIT 5 implementation guide (ISACA, 2012) mendeskripsikan

faktor kesuksesan terhadap keberhasilan implementasi, yaitu:

1. Para manajemen tingkat atas menyediakan arahan dan amanat

terhadap inisiasi, dengan melakukan komitmen dan dukungan

yang nyata.

2. Semua bagian mendukung proses tata kelola dan manajemen

untuk memahami tujuan bisnis dan TI.

3. Memastikan bahwa terdapat komunikasi dan pemberdayaan yang

efektif terhadap keperluan perubahan.

4. Menyesuaikan COBIT dan good practice dan standard pendukung

lainnya agar sesuai dengan konteks unik dari perusahaan.

5. Berfokus pada kemenangan dengan cepat dan memprioritaskan

perbaikan yang paling bermanfaat yang paling mudah

diimplementasi.

2.7.3 7 Enablers

Enablers adalah sekumpulan faktor yang mempengaruhi sesuatu yang

akan dikerjakan oleh organisasi. COBIT 5 memiliki 7 kategori enablers,

yaitu:

1. Principles, Policies and Frameworks: Sarana untuk menerjemahkan

perilaku yang diinginkan ke dalam pedoman yang praktis untuk

kegiatan manajemen sehari-hari.

2. Processes: Menggambarkan kumpulan kegiatan dan aktivitas dari

organisasi untuk mencapai tujuan tertentu dan menghasilkan output

untuk mendukung pencapaian tujuan yang tentunya berkaitan dengan

TI.

3. Organizational Structure: Struktur organisasi adalah kunci entitas

pengambilan keputusan dalam sebuah perusahaan.

4. Culture, Ethics and Behaviour: Budaya, etika dan perilaku individu

dan perusahaan dalam kesehariannya serta cara menanggapi dan

membuat keputusan terhadap suatu hal.

5. Information: Informasi dapat menyebar keseluruh organisasi, dan

informasi yang dihasilkan akan digunakan oleh perusahaan.

6. Service, Infrastructure, and Applications: 3 hal yang menyediakan

sesuatu untuk perusahaan dengan pengolahan dan jasa teknologi

informasi.

7. People, Skills and Competencies: Orang, skills dan kompetensi

diperlukan untuk menyelesaikan semua kegiatan dan untuk membuat

keputusan yang benar dan mengambil tindakan korektif.

2.7.4 COBIT 5 Process Reference Model

COBIT 5 termasuk didalamnya yaitu process reference model, yang

menggambarkan dan mendeskripsikan detail dari beberapa proses tata

kelola dan manajemen. Hal tersebut mewakili seluruh proses yang biasanya

ditemukan di dalam yang berhubungan dengan aktivitas TI.

Gambar 2. 2 COBIT 5 Process Reference Model

Gambar diatas merupakan beberapa komponen control objectives

dalam melakukan penilaian yang terdapat pada COBIT 5, dapat dilihat

dengan jelas bahwa setiap poin kriteria penilaian tersebut memiliki

domainnya masing-masing dan process reference model terbagi dalam dua

jenis area yaitu governance dan management process dari enterprise IT

yang terdiri dari 37 proses. Pada saat melakukan control objective untuk

melakukan penilaian, hal ini didasari dari hasil pengumpulan data awal

sehingga dapat menentukan hal kritis pada perusahaan apa saja yang harus

dinilai.

Domain 1: Evaluate, Direct and Monitor (EDM)

EDM adalah proses tata kelola yang berhubungan dengan

stakeholders yang terdiri dari pengiriman tujuan, nilai, optimalisasi risiko

dan sumber daya. Beberapa proses pada domain EDM yaitu:

● EDM01 Evaluate governance framework setting and maintenance

● EDM02 Ensure benefits delivery

● EDM03 Ensure risk optimization

● EDM04 Ensure resource optimization

● EDM05 Ensure stakeholder transparency

Domain 2: Align, Plan and Organise (APO)

APO mencakup strategi untuk merencanakan dan meluruskan tujuan

TI dengan tujuan organisasi. Proses-proses yang ada pada domain APO

adalah:

● APO01 Manage the IT management framework

● APO02 Manage strategy

● APO03 Manage enterprise architecture

● APO04 Manage innovation

● APO05 Manage portfolio

● APO06 Manage budget and costs

● APO07 Manage human resources

● APO08 Manage relationships

● APO09 Manage service agreements

● APO10 Manage supplier

● APO11 Manage quality

● APO12 Manage risk

● APO13 Manage security

Domain 3: Build, Acquire, and Implement (BAI)

BAI mengidentifikasi solusi TI yang perlu dikembangkan, diperoleh,

diterapkan dan diintegrasikan ke dalam proses bisnis. Proses dalam domain

BAI adalah sebagai berikut:

● BAI01 Manage programmes and projects

● BAI02 Manage requirements definition

● BAI03 Manage solutions identification and build

● BAI04 Manage availability and capacity

● BAI05 Manage organizational change enablement

● BAI06 Manage changes

● BAI07 Manage change acceptance and transitioning

● BAI08 Manage knowledge

● BAI09 Manage assets

● BAI10 Manage configuration

Domain 4: Deliver, Service and Support (DSS)

DSS adalah domain yang meliputi pelayanan, pengelolaan keamanan

dan kelangsungan, dukungan layanan bagi pengguna, manajemen data dan

fasilitas operasional. Beberapa proses pada domain DSS yaitu:

● DSS01 Manage operations

● DSS02 Manage service requests and incidents

● DSS03 Manage problems

● DSS04 Manage continuity

● DSS05 Manage security services

● DSS06 Manage business process controls

Domain 5: Monitor, Evaluate, Assess (MEA)

MEA adalah kegiatan pemantauan pengendalian internal, kepatuhan

terhadap peraturan dan tata kelola. Beberapa proses pada domain MEA

yaitu:

● MEA01 Monitor, evaluate, assess performance & conformance

● MEA02 Monitor, evaluate & assess the system & internal control

● MEA03 Monitor, evaluate & assess compliance with external

requirements

2.7.5 Metode Penerapan Tata Kelola Informasi COBIT 5

Penerapan tata kelola TI menggunakan COBIT 5 memiliki metode

yang dibagi-bagi menjadi tahapan-tahapan yang perlu dilalui saat melakukan

evaluasi. Evaluasi dilakukan secara iteratif sehingga ketika tahap terakhir

selesai dilakukan maka kembali lagi ke tahapan yang pertama, seperti yang

dipaparkan pada gambar 2.3.

Gambar 2. 3 COBIT 5 Implementation

1) Tahap 1: Initiate programme

Pada tahap ini dilakukan tentang apa penggerak organisasi dan

sebagai identifikasi pendorong perubahan saat ini. Tujuannya untuk

memperoleh pemahaman tentang organisasi, struktur organisasi yang

terdiri dari tujuan, tugas dan wewenang, pendekatan pengelolaan

organisasi saat ini dan konsep program organisasi.

2) Tahap 2: Define problems and opportunities

Pada tahap ini dilakukan tentang posisi organisasi saat ini yang

berhubungan dengan TI. Manajemen perlu mengetahui kemampuan

saat ini dan dimana kekurangan organisasi. Hal ini telah melakukan

pencapaian dengan penilaian kemampuan proses terhadap status

proses yang dipilih.

3) Tahap 3: Define roadmap

Pada tahap ini dilakukan pendefinisian target untuk perbaikan

yang akan dilakukan organisasi dan analisis gap untuk

mengidentifikasi solusi potensial. Tujuannya adalah menetapkan

target kemampuan pada proses yang dipilih.

4) Tahap 4: Plan Programme

Pada tahap ini dilakukan tentang apa yang harus dilakukan

organisasi yang bertujuan melakukan solusi perbaikan dan

rekomendasi. Tujuan tahap ini adalah menerjemahkan kesempatan

untuk melakukan perbaikan terhadap proses yang dipilih.

5) Tahap 5: Execute Plan

Pada tahap ini menjelaskan tentang pelaksanaan solusi yang

diusulkan ke dalam praktek kegiatan yang dilakukan pada organisasi

dan dilakukan pemantauan terhadap keselarasan yang dicapai dengan

pengukuran kinerja.

6) Tahap 6: Release Benefits

Pada tahap ini menjelaskan tentang transisi berkelanjutan yang

dilakukan dari perbaikan tata kelola teknologi informasi pada

organisasi.

7) Tahap 7: Review Effectiveness

Tahap ini mengevaluasi setiap pencapaian hasil perbaikan

kesuksesan pada organisasi dan identifikasi tata kelola untuk

meningkatkan kebutuhan untuk perbaikan terus-menerus.

2.7.6 COBIT 5 Process Assessment Model (PAM)

Process Assessment Model (PAM) adalah model dua dimensi yang

terdiri dari dimensi kapabilitas dan dimensi proses. PAM digunakan sebagai

dasar untuk penilaian kemampuan proses organisasi (ISACA, 2012). Untuk

melakukan Assessment menggunakan COBIT 5 ini perlu adanya nilai proses

atribut untuk Capability level Tata Kelola TI yang memiliki skala nilai 0

sampai dengan 5, sebagai berikut:

Tabel 2. 1 COBIT 5 Process Assessment Model (PAM)

Capability

Level

Level Name Keterangan

0 Incomplete

Process

Proses tidak dilaksanakan atau gagal untuk mencapai

tujuan prosesnya. Pada tingkat ini, ada sedikit atau tidak

ada bukti dari setiap pencapaian yang sistematis dari

tujuan proses.

1 Performed

Process

Proses diimplementasikan mencapai tujuan prosesnya.

2 Managed

Process

Proses dilaksanakan secara berhasil (direncanakan,

dimonitor dan disesuaikan) dan produk kerja yang tepat

ditetapkan, dikendalikan dan dipelihara.

3 Established

Process

Organisasi telah memiliki standar prosedur operasional

dan terdokumentasi dengan baik, serta telah melakukan

sosialisasi secara formal atas seluruh proses TI yang

berjalan

4 Predictable

Process

Organisasi melakukan pengawasan dan memastikan

proses telah berjalan sesuai prosedur dan kebijakan yang

berlaku.

5 Optimizing

Process

Proses-proses TI yang berjalan telah mencapai tingkatan

good practice. Hal ini dapat dinilai dari keselarasan

proses-proses TI dengan perubahan atau perkembangan

TI serta bisnis organisasi. Seluruh proses TI telah

terintegrasi dan memiliki proses yang telah terotomasi.

Proses TI tersebut juga digunakan untuk menilai kualitas

dan efektivitas proses TI secara menyeluruh.

Proses-proses tersebut terbagi lagi menjadi beberapa atribut menurut

levelnya dan memiliki beberapa dimensi sesuai dengan domain-domain yang

ada dalam COBIT 5 seperti yang dijelaskan pada gambar 2.5.

Gambar 2. 4 COBIT 5 Process Assessment Model (PAM)

ISO / IEC 15504-2 mengidentifikasi persyaratan minimum untuk

melakukan penilaian yang menjamin konsistensi dan pengulangan penilaian.

Persyaratan tersebut membantu memastikan bahwa hasil penilaian konsisten

dan menyediakan bukti untuk memperkuat peringkat dan untuk

memverifikasi kepatuhan dengan persyaratan.

Menurut ISO / IEC 15504 dalam penilaian kapabilitas proses ini

mengatasi berbagai kekhawatiran yang jauh lebih luas daripada yang

dijelaskan dalam atribut proses COBIT. Beberapa hasil pencapaian atribut

proses ISO / IEC 15504 sangat sesuai dengan masalah yang diidentifikasi

dalam deskripsi perilaku atribut proses COBIT. Atribut proses COBIT

meliputi:

1. Responsibility and accountability.

2. Awareness and communication.

3. Policies, plans and procedures.

4. Tools and automation.

5. Skills and expertise.

6. Goal setting and measurement.

Menurut ISACA (2011:7), COBIT 5 PAM dibuat berdasarkan COBIT

4.1 dan International Organization for Standardization (ISO) / International

Electrotechnical Commission (IEC) 15504. Indikator kapabilitas proses

adalah nilai dari kemampuan proses dalam meraih tingkat kapabilitas yang

ditentukan yang mana ditentukan oleh atribut proses. Bukti atas indikator

kapabilitas proses akan sangat penting bagi proses tata kelola IT untuk

mendukung penilaian atas pencapaian atribut proses.

Terdapat enam tingkatan dalam dimensi kapabilitas untuk penilaian

proses. Tingkat 0 tidak memiliki indikator apapun, karena tingkat 0

menyatakan proses yang belum diimplementasikan atau proses yang gagal,

untuk mencapai hasil akhirnya. Untuk mencapai level 1, perusahaan harus

mencapai capability level 1. Hal ini dilakukan karena level 1 menentukan

apakah suatu proses mencapai tujuannya, dan oleh karena itu sangat penting

di awal untuk mencapai nilai tersebut sebagai menjadi awal dalam meraih

level yang lebih tinggi.

Model ini digunakan sebagai dokumen basis untuk menjadi referensi

dalam menilai kapabilitas dan efektivitas IT organisasi. Selain itu, model ini

juga dapat digunakan untuk:

a. Mengidentifikasi kebutuhan-kebutuhan minimum untuk

melakukan penilaian (output yang dibutuhkan).

b. Mendefinisikan proses kapabilitas dalam 2 dimensi, process dan

kapabilitas.

c. Menggunakan indikator proses kapabilitas dan performa dari

proses untuk menentukan apakah atribut proses telah terpenuhi.

d. Mengukur performa dari proses berdasarkan urutan praktik

dasar dan aktivitas-aktivitas untuk memenuhi work product.

e. Mengukur proses kapabilitas melalui pencapaian attribut

berdasarkan bukti spesifik (level 1) dan generik (level yang

lebih tinggi) practices.’

Untuk dapat menilai capability level dari sebuah proses, maka

perusahaan perlu menilai setiap level domain menurut process attribute dari

level domain tersebut. Dalam menilai capability level dari setiap process

attribute, COBIT 5 menyediakan template penilaian untuk membantu penilai

memasukkan setiap hasil penilaian dalam perhitungan.

Template ini terbagi menurut masing-masing capability level dari 0

sampai 5, dimana setiap level memiliki process attribute yang sesuai dengan

levelnya masing-masing. Untuk hasil penilaian yang bernilai 0% hingga 15%,

maka akan dikategorikan sebagai Not Achieved (N), dan akan ditandai

dengan warna merah pada tabel. Untuk hasil penilaian yang bernilai 15%

hingga 50%, maka akan dikategorikan sebagai Partially Achieved (P), dan

akan ditandai dengan warna jingga pada tabel. Untuk hasil penilaian yang

bernilai 50% hingga 85%, maka akan dikategorikan sebagai Largely

Achieved (L), dan akan ditandai dengan warna kuning pada tabel. Untuk hasil

penilaian yang bernilai 85% hingga 100%, maka akan dikategorikan sebagai

Fully Achieved (F), dan akan ditandai dengan warna hijau pada tabel. Level

target yang ingin dicapai perusahaan akan ditandai dengan warna biru pada

garis batas tabel. Dibawah ini adalah template ringkasan capability level:

Tabel 2. 2 Template Capability Level

Tujuan Deskripsi Tujuan

Nama Proses Level 0 Level 1 Level 2 Level 3 Level 4 Level 5

PA 1.1 PA

2.1

PA

2.2

PA

3.1

PA

3.2

PA

4.1

PA

4.2

PA

5.1

PA

5.2

Persentase

Warna

Keterangan:

0%-15% = Not Achieved (N)

15%-50%= Partially Achieved (P)

50%-85%= Largely Achieved (L)

85%-100% = Fully Achieved (F)

Level Target Perusahaan

Pewarnaan pada tabel membantu penilai untuk mengkategorikan

setiap proses yang dinilai ke dalam pembagian menurut ISO/IEC 15504, yaitu

Not Achieved, Partially Achieved, Largely Achieved, dan Fully Achieved. Jika

level proses mencapai Fully Achieved maka proses dapat dinilai ke level

berikutnya.

Penggunaan template ini diharapkan dapat memudahkan para penilai

dalam memasukkan nilai-nilai capability level setiap proses sehingga dapat

meminimalisir juga kesalahan input yang terjadi.

2.8 ISO 15504

ISO (2004) mendefinisikan ISO/IEC 15504 sebagai model referensi untuk

maturity model yang terdiri dari capability level dan process attributes serta generic

practices. Dengan menggunakan model ini, penilai dapat meletakkan bukti-bukti

yang ditemukan dan dikumpulkan pada saat mereka melakukan penilaian dan

memberikan perkiraan dari kemampuan sebuah organisasi dalam menyampaikan

produk. Produk dapat berupa software, sistem, dan layanan TI.

Dimensi proses yang didefinisikan di dalam ISO/IEC 15504 terbagi menjadi

lima kategori proses yang selalu dikembangkan oleh komite ISO khususnya bagian

proses layanan TI dan proses enterprise. Pembagian lima kategori proses tersebut

adalah:

1. customer-supplier

2. engineering

3. supporting

4. management

5. organization

Dalam setiap proses, ISO/IEC 15504 mendefinisikan capability level menjadi

beberapa skala. Skala tersebut menunjukkan tingkat capability level perusahaan dan

terbagi menjadi 6 yaitu:

1. Level 5: Optimizing process

2. Level 4: Predictable process

3. Level 3: Established process

4. Level 2: Managed process

5. Level 1: Performed process

6. Level 0: Incomplete process

Setiap penilaian dari capability level dari proses diukur menggunakan process

attributes yang didefinisikan dari standar internasional dan terbagi menjadi 9 bagian

process attributes, yaitu:

1. 1.1 Process performance

2. 2.1 Performance management

3. 2.2 Work product management

4. 3.1 Process definition

5. 3.2 Process deployment

6. 4.1 Process measurement

7. 4.2 Process control

8. 5.1 Process innovation

9. 5.2 Process optimization

Setiap process attribute terdiri dari satu atau lebih generic practices yang

dijabarkan lebih lanjut menjadi practice indicators untuk membantu proses penilaian

capability dan performance. Setiap process attribute dinilai menggunakan skala 4

nilai dalam bentuk N-P-L-F:

1. Not achieved (0 - 15%)

2. Partially achieved (>15% - 50%)

3. Largely achieved (>50%- 85%)

4. Fully achieved (>85% - 100%)

Seluruh penilaian didasari pada bukti-bukti nyata terhadap practice indicators

yang dikumpulkan pada saat penilaian. Setiap bukti harus mencerminkan pemenuhan

atau pelaksanaan dari process attribute yang bersangkutan. Terdapat level 1 hingga

level 5 dimana setiap level memiliki persyaratan masing-masing yang harus

dipenuhi. Untuk dapat dinyatakan bahwa sebuah level kapabilitas telah terpenuhi

maka proses harus meraih kategori Fully Achieved (F) untuk dapat melanjutkan ke

level kapabilitas berikutnya.

2.9 Output pada Domain Deliver, Support, Services (DSS)

Menurut (ISACA, 2012) penilaian pemenuhan sebuah domain dapat diukur

melalui output yang dihasilkannya berikut adalah rincian output dan aktivitas yang

harus dilakukan pada domain:

2.9.1 DSS01 Manage Operations

Gambar 2.5 Output DSS01.01

Aktivitas DSS01.01:

1. Membuat dan melakukan maintenance terhadap prosedur tertulis yang

dijadikan acuan dalam menjalankan servis

2. Jadwal aktivitas operasional, proses eksekusi, performa, serta hasil

dari aktivitas haruslah di dokumentasikan

3. Memastikan bahwa semua data yang digunakan untuk aktivitas

diterima dan diproses secara komplit, akurat dan tepat waktu.

4. Memastikan bahwa ada standar keamanan pada proses penerimaan,

proses, penyimpanan, dan penghasilan data yang sesuai dengan tujuan

perusahaan

5. Menjadwalkan, dan mencatat log backup data yang sesuai dengan

kebijakan dan prosedur yang berlaku

Gambar 2.6 Output DSS01.02

Aktivitas DSS01.02:

1. Memastikan bahwa kebutuhan perusahaan terkait dengan keamanan

informasi ditulis dalam Service Level Agreement yang telah dibuat

dengan pihak ketiga

2. Memastikan bahwa kebutuhan operasi perusahaan maupun yang

terkait dengan teknologi informasi dilaksanakan oleh pihak ketiga

sesuai dengan kontrak atau SLA

Gambar 2.7 Output DSS01.03

Aktivitas DSS01.03:

1. Pencatatan kejadian harus dicatat berdasarkan pertimbangan risiko

dan performa

2. Melakukan identifikasi dan mencatat seluruh infrastruktur aset yang

harus dijaga

3. Membuat event log dan menyimpannya dalam sebuah periode tertentu

agar dapat digunakan dalam investigasi kasus di masa mendatang

4. Memastikan bahwa insiden dilaporkan secara tepat waktu sehingga

risiko yang terjadi akibat insiden dapat diminimalisir

Gambar 2.8 Output DSS01.04

Aktivitas DSS01.04

1. Mengidentifikasi segala bencana alam maupun yang diakibatkan oleh

manusia yang dapat terjadi di tempat teknologi informasi dijalankan

2. Melakukan identifikasi bagaimana untuk mengamankan aset dari

ancaman bencana tersebut

3. Memastikan bahwa lokasi IT dibuat dan didesain untuk

meminimalisir dampak dari bencana alam

4. Menjaga lokasi IT bersih dan aman setiap saat ( tidak berantakkan,

tidak kotor, maupun ada benda yang dapat memicu api)

Gambar 2.9 Output DSS01.05

Aktivitas DSS01.05:

1. Secara berkala melakukan tes terhadap tegangan listrik, kabel,

fluktuasi listrik, perangkat output di tempat teknologi informasi

dijalankan dan memastikan bahwa sudah cukup aman dan memadai

untuk menjalankan IT di lokasi tersebut.

2. Memberikan penyuluhan terkait dengan kesehatan, keamanan, dan

keselamatan kerja

3. Mencatat, mengawasi, dan menangani segala insiden yang terkait

dengan kejadian yang berhubungan dengan fasilitas IT dan

membuatkan laporannya

2.9.2 DSS02 Manage Service Requests and Incidents

Gambar 2.10 Output DSS02.01

Aktivitas DSS02.01:

1. Mendefinisikan segala insiden dan servis yang diminta serta

melakukan kategori prioritas untuk memastikan bahwa adanya

penanganan yang konsisten dan memadai

2. Membuat peraturan yang menjadi acuan dalam melakukan

penanganan insiden

3. Membuat kerangka atau model insiden yang diketahui untuk

memastikan bahwa penanganan dijalankan dengan efektif dan efisien

Gambar 2.11 Output DSS02.02

Aktivitas DSS02.02:

1. Segala permintaan servis ataupun penanganan insiden harus dicatat

sehingga adanya dokumentasi yang memadai untuk menjadi acuan

dalam penyelesaian masalah di masa mendatang

2. Membuat analisa trend, klasifikasi permintaan maupun insiden

berdasarkan tipe dan kategorinya

3. Memprioritaskan permintaan maupun penanganan insiden sesuai

dengan dampak maupun tingkat urgensinya

Gambar 2.12 Output DSS02.03

Aktivitas DSS02.03:

1. Memastikan bahwa permintaan servis yang dilakukan maupun yang

diterima sesuai dengan prosedur yang telah ditetapkan sebelumnya

2. Setiap permintaan maupun perubahan harus ada persetujuan formal

oleh pihak yang berwenang

Gambar 2.13 Output DSS02.04

Aktivitas DSS02.04 :

1. Melakukan identifikasi penyebab terjadinya sebuah insiden dari

dokumentasi yang telah dibuat sebelumnya

2. Jika masalah yang ditemukan dikategorikan baru, maka harus

membuat dokumentasi tambahan yang sesuai

3. Memberikan tugas penanganan insiden kepada orang yang ahli dalam

bidangnya

Gambar 2.14 Output DSS02.05

Aktivitas DSS02.05:

1. Memilih dan menjalankan solusi penyelesaian masalah yang dianggap

sesuai

2. Melakukan pencatatan terkait tindakan yang dilakukan untuk

menangani masalah yang dapat digunakan untuk referensi di masa

mendatang

Gambar 2.15 Output DSS02.06

Aktivitas DSS02.06:

1. Memastikan bahwa user yang memiliki insiden telah puas dengan

penanganan insiden/ insiden telah ditangani dengan tuntas

2. Menutup segala servis dan insiden

Gambar 2.16 Output DSS02.07

Aktivitas DSS02.07:

1. Memantau laporan insiden yang terjadi dan membuat analisa trend

yang terjadi

2. Melakukan identifikasi kebutuhan pemegang kepentingan dalam

organisasi terkait dengan data atau laporan

3. Membuat dan membagikan laporan yang sesuai kepada pihak yang

berwenang

2.9.3 DSS03 Manage Problems

Gambar 2.17 Output DSS03.01

Aktivitas DSS03.01:

1. Melakukan identifikasi masalah melalui korelasi laporan insiden,

error logs, dan sumber identifikasi masalah lainnya. Kemudian

menentukan prioritas dalam menyelesaikan masalah secara tepat

waktu.

2. Melaporkan status masalah yang dilaporkan kepada service desk

sehingga customer dan manajemen IT dapat mengetahuinya

3. Membuat katalog masalah untuk mencatat semua laporan insiden dan

cara penyelesaiannya sehingga ada rekam jejak auditnya.

Gambar 2.18 Output DSS03.02

Aktivitas DSS03.02:

1. Melakukan identifikasi masalah yang diketahui dan

membandingkannya dengan masalah yang pernah dicatat sebelumnya

dan jika masalah pernah terjadi sebelumnya maka akan

diklasifikasikan sebagai known errors

2. Membuat laporan yang menunjukkan perkembangan dalam aktivitas

penyelesaian masalah dan melakukan pemantauan statusnya

Gambar 2.19 Output DSS03.03

Aktivitas DSS03.03:

1. Setelah penyebab masalah diketahui, maka team IT harus membuat

catatan laporan known errors

2. Mengidentifikasi, evaluasi, dan menentukan prioritas solusi

berdasarkan dampak dan urgensinya

Gambar 2.20 Output DSS03.04

Aktivitas DSS03.04:

1. Menutup segala catatan penyelesaian masalah setelah konfirmasi

bahwa insiden telah ditangani dengan tuntas

2. Memberitahukan service desk terkait dengan penutupan masalah

3. Memastikan bahwa pengetahuan yang didapatkan dari penyelesaian

masalah tersebut dilakukan review dengan customer bisnis

Gambar 2.21 Output DSS03.05

Aktivitas DSS03.05:

1. Membuatkan laporan yang dapat memantau resolusi antara kebutuhan

bisnis dan SLA (Service Level Agreement).

2. Untuk mengoptimalkan pemakaian sumber daya, harus dilakukan

analisis terhadap trend masalah

3. Mengidentifikasi segala solusi yang menyelesaikan masalah secara

permanen/ menghilangkan sumber masalah sehingga masalah yang

sama tidak akan terjadi.

2.9.4 DSS04 Manage Continuity

Gambar 2.22 Output DSS04.01

Aktivitas DSS04.01:

1. Mengidentifikasi proses bisnis internal dan eksternal serta aktivitas

yang kritis untuk memastikan bahwa segala operasi dijalankan sesuai

dengan peraturan dan kebijakan yang berlaku

2. Mengidentifikasi tugas dan tanggung jawab semua pemegang

kepentingan pada perusahaan

3. Melakukan identifikasi antara kemampuan perusahaan saat ini dan

yang ingin dicapai

Gambar 2.23 Output DSS04.02

Aktivitas DSS04.02:

1. Melakukan identifikasi skenario yang dapat menyebabkan gangguan

terhadap proses bisnis serta dampak yang ditimbulkan

2. Melakukan analisa kebutuhan untuk menjalankan bisnis secara jangka

panjang

3. Setelah analisa kebutuhan telah dilakukan, harus dilakukan

persetujuan oleh eksekutif bisnis

Gambar 2.24 Output DSS04.03

Aktivitas DSS04.03:

1. Membuat Business Continuity Plan yang berisikan prosedur yang

harus diikuti untuk memastikan bahwa segala proses bisnis yang

penting dalam organisasi dapat dijalankan dengan lancar. Jika proses

bisnis dijalankan oleh pihak eksternal, maka harus dipastikan bahwa

ada aturan yang telah ditetapkan sehingga proses bisnis perusahaan

dapat dipenuhi

2. Melakukan pencatatan segala kegiatan maupun komunikasi yang

dilakukan pada saat terjadi gangguan. Juga harus dilakukan

pencatatan terkait dengan peran dan tanggung jawab setiap orang

yang terkait

Gambar 2.25 Output DSS04.04

Aktivitas DSS04.04:

1. BCP yang telah dibuat harus dilakukan test untuk memastikan bahwa

rencana yang dibuat telah sesuai dan memadai

2. Melakukan pelatihan untuk melaksanakan BCP sesuai yang

ditetapkan

3. Setelah pelatihan dijalankan, maka harus dibuat evaluasi dan

rekomendasi terkait dengan pelaksanaannya

Gambar 2.26 Output DSS04.05

Aktivitas DSS04.05:

1. Melakukan review BCP untuk memastikan bahwa BCP masih sesuai

dengan tujuan organisasi

2. Jika terjadi perubahan tujuan, maka harus dievaluasi perubahan apa

yang harus dibuat pada BCP tersebut

3. Secara berkala melakukan review BCP dengan mempertimbangkan

dampak dari perubahan besar terhadap: organisasi, proses bisnis,

teknologi, kesepakatan dengan pihak ketiga, infrastruktur, sistem

operasi maupun sistem aplikasi

Gambar 2.27 Output DSS04.06

Aktivitas DSS04.06:

1. Membuat rencana dan kebutuhan training untuk semua personel yang

terlibat dalam melakukan perencanaan, penilaian dampak, penilaian

risiko, media komunikasi dan respon terhadap insiden. Memastikan

bahwa rencana pelatihan dijalankan secara berkala dan sesuai dengan

prosedur

2. Melakukan pemantauan kemampuan berdasarkan hasil pelatihan

Gambar 2.28 Output DSS04.07

Aktivitas DSS04.07:

1. Memastikan bahwa sistem, aplikasi, data, dan dokumentasi diproses

dan dijaga oleh pihak ketiga secara memadai

2. Jika data backup dijalankan secara internal, maka harus memastikan

ada penjelasan kebutuhan tempat penyimpanan data yang sesuai

dengan kebutuhan bisnis

3. Backup sistem, aplikasi, data dan dokumentasi harus berisikan

a. Frekuensi (bulanan, mingguan, harian)

b. Metode backup

c. Jenis backup (keseluruhan atau per bagian)

d. Media yang digunakan untuk backup

e. Online backup yang otomatis

f. Tipe data

g. Logs

h. Lokasi fisik dari sumber data

i. Keamanan dan hak akses

j. Enkripsi data

Gambar 2.29 Output DSS04.08

Aktivitas DSS04.08:

1. Menilai ketaatan terhadap BCP yang telah didokumentasikan

2. Menentukan tingkat efektifitas, tugas dan tanggung jawab,

kemampuan, ketahanan terhadap insiden, infrastruktur teknis, dan

hubungan antara struktur organisasi dalam eksekusi BCP

3. Mengidentifikasi kelemahan dalam rencana dan membuat

rekomendasi yang sesuai untuk perbaikkan

2.9.5 DSS05 Manage Security Services

Gambar 2.30 Output DSS05.01

Aktivitas DSS05.01:

1. Melakukan komunikasi untuk meningkatkan kesadaran akan

pencegahan dari gangguan software yang berbahaya

2. Melakukan instalasi perlindungan dari virus atau software yang

berbahaya

3. Secara berkala melakukan evaluasi terhadap ancaman baru yang dapat

terjadi

Gambar 2.31 Output DSS05.02

Aktivitas DSS05.02:

1. Membuat kebijakan keamanan yang terkait dengan koneksi

berdasarkan penilaian risiko dan kebutuhan bisnis

2. Hanya memberikan akses kepada perangkat yang telah ditentukan

3. Melakukan enkripsi pengiriman informasi agar aman

4. Membuat penetration test secara berkala untuk memastikan bahwa

perlindungan terhadap jaringan telah memadai, setelah dilakukan test

tersebut maka harus di dokumentasikan hasilnya

Gambar 2.32 Output DSS05.03

Aktivitas DSS05.03:

1. Melakukan konfigurasi operating system secara aman

2. Melakukan konfigurasi jaringan secara aman

3. Melakukan enkripsi informasi dan disimpan berdasarkan kategorinya

4. Melindung integritas sistem

5. Mengadakan perlindungan fisik terhadap perangkat IT

6. Membuang perangkat IT yang sudah tidak terpakai secara aman (data

terlebih dahulu dibersihkan)

Gambar 2.33 Output DSS05.04

Aktivitas DSS05.04:

1. Membuat list akses user sesuai dengan kebutuhan proses dan fungsi

bisnis. Memastikan bahwa segala akses yang diberikan sesuai dengan

kewenangan jabatannya

2. Segala perubahan akses ke aset informasi harus dicatat secara tepat

waktu dan dilakukan persetujuan kepada pihak yang berwenang

3. Melakukan review secara berkala terkait hak akses

4. Membuat audit trail terhadap informasi sensitif

Gambar 2.34 Output DSS05.05

Aktivitas DSS05.05:

1. Segala hak akses yang diberikan harus dibuat secara formal oleh

pihak yang memiliki wewenang terhadap lokasi IT. Pernyataan formal

ini harus berisikan lokasi area yang diberikan aksesnya

2. Melakukan pemantauan terhadap akses masuk kedalam lokasi dimana

IT dijalankan. Mendaftarkan semua pengujung, vendor maupun

kontraktor yang melakukan kunjungan

3. Memastikan bahwa pengunjung dipantau oleh pihak yang berwajib

dan tidak dibiarkan sendirian

4. Memberikan latihan mengenai kesadaran akan keamanan

Gambar 2.35 Output DSS05.06

Aktivitas DSS05.06:

1. Membuat prosedur untuk mengelola tanda penerimaan, penggunaan,

penghapusan dan pembuangan dari form khusus.

2. Mengalokasikan hak akses terhadap dokumen sensitif dan output

devices berdasarkan kebutuhan bisnis.

3. Membuat penyimpanan terhadap dokumen sensitif.

4. Membuat pengamanan fisik terhadap form khusus dan device sensitif.

Gambar 2.36 Output DSS05.07

Aktivitas DSS05.07:

1. Mencatat kejadian-kejadian keamanan yang dilaporkan menggunakan

alat monitor infrastruktur dan mengidentifikasi informasi mana yang

perlu dicatat berdasarkan pertimbangan risiko.

2. Mendefinisikan dan mengkomunikasikan karakteristik potensi

ancaman insiden.

3. Mengkaji ulang catatan kejadian secara reguler.

4. Memelihara prosedur untuk mengumpulkan bukti forensik sesuai

dengan aturan dan pastikan seluruh pegawai sadar akan hal itu.

2.9.6 DSS06 Manage Business Process Controls

Gambar 2.37 Output DSS06.01

Aktivitas DSS06.01:

1. Mengidentifikasi dan mendokumentasi aktivitas kontrol dari bisnis

proses untuk memenuhi tujuan kebutuhan kontrol strategis,

operasional, dan laporannya.

2. Memprioritasi aktivitas kontrol berdasarkan inherent risk yang ada

pada proses bisnis utama dan mengidentifikasi kontrol utama.

3. Memastikan kepemilikan kegiatan kontrol.

4. Memonitor kegiatan kontrol secara end-to-end.

Gambar 2.38 Output DSS06.02

Akvitias DSS06.02:

1. Membuat transaksi oleh individu berwenang yang diikuti prosedur

dan terpisah secara kewajiban tergantung pada approval transaksi itu.

2. Melakukan autentikasi terhadap pembuat transaksi dan memastikan

orang tersebut memiliki wewenang untuk membuat transaksi tersebut.

3. Memasukkan transaksi dalam urutan waktu dan pastikan transaksinya

akurat, lengkap dan valid.

4. Membetulkan data yang sebelumnya terjadi kesalahan input.

Gambar 2.39 Output DSS06.03

Aktivitas DSS06.03:

1. Mengalokasikan peran dan tanggung jawab terhadap individu

berdasarkan job description.

2. Mengalokasikan tingkat dan batas wewenang untuk approval dari

sebuah transaksi.

3. Mengalokasikan hak akses berdasarkan apa yang dibutuhkan untuk

melakukan pekerjaan sesuai dengan job description.

4. Mengalokasikan peran untuk kegiatan yang sensitif dan rahasia

sehingga tercipta segregation of duties.

Gambar 2.40 Output DSS06.04

Aktivitas DSS06.04:

1. Mendefinisikan dan memelihara prosedur untuk menentukan

kepemilikan data, membetulkan data, dan mengesampingkan

kesalahan data.

2. Meninjau errors, pengecualian dan deviasi.

3. Memelihara semua bukti atas kegiatan pembetulan.

Gambar 2.41 Output DSS06.05

Aktivitas DSS06.05:

1. Mendefinisikan kebutuhan penyimpanan dari data transaksi

berdasarkan kebutuhan bisnis.

2. Menyimpan sumber informasi, bukti pendukung, dan catatan dari

sebuah transaksi.

3. Membuang sumber informasi, bukti pendukung, dan catatan dari

sebuah transaksi sesuai dengan kebijakan penyimpanan.

Gambar 2.42 Output DSS06.06

Aktivitas DSS06.06:

1. Menerapkan klasifikasi data dan prosedur untuk melindungi

keamanan aset informasi.

2. Memberikan training untuk kesadaran terhadap penggunaan data.

3. Membatasi penggunaan, distribusi, dan akses fisik terhadap data.

4. Mengidentifikasi dan menerapkan proses, alat, dan teknik untuk

memverifikasi kepatuhan.

2.10 Kerangka Pikir

Penulisan menggunakan kerangka pikir sesuai gambar 2.43 di bawah ini.

Gambar 2.43 Kerangka Pikir

Mengumpulkan data (studi pustaka,

observasi, wawancara)

Membuat rincian penilaian capability level

Melakukan penilaian capability level

Merumuskan kesimpulan & memberi masukan kepada perusahaan

Evaluasi tata kelola TI sistem CRM pada PT

XXX dengan COBIT 5

Menganalisis performance indicator

Studi pustaka akan dilakukan dari berbagai sumber yaitu jurnal, buku, dan

informasi dari internet yang berkaitan dengan evaluasi tata kelola TI dengan

menggunakan kerangka kerja COBIT 5. Dari studi pustaka yang dilakukan, penulis

akan melakukan pengumpulan data dengan berbagai metode seperti observasi dan

dari dokumentasi.

Dari data-data yang dikumpulkan akan diperoleh bukti-bukti yang diperlukan

untuk melakukan penilaian capability level dari setiap process attributes yang ada.

Penilaian dilakukan untuk menentukan capability level dari perusahaan berdasarkan

dari bukti-bukti yang ada untuk menentukan seberapa jauh tingkat capability level

perusahaan.

Hasil penilaian seluruh domain DSS akan menentukan tingkat capability level

perusahaan secara keseluruhan menurut domain DSS. Hasil tersebut akan

dibandingkan dengan target tingkat capability level perusahaan yang ingin dicapai.

Gap yang muncul dari perbandingan tersebut akan menentukan masukan perbaikan

untuk perusahaan supaya dapat menutup gap tersebut.