tata ke- lola teknologi informasihome.dianciptaperkasa.co.id/wcome/mg/itg.pdfdalam perusahaan, ......

Puri Sentra Niaga Blok B No. 24 – 26 Jl. Wiraloka-Cipinang Melayu Kalimalang, Jakarta 13620 INDONESIA Ph. +62 21 8660 7760 / 62 F. +62 21 8660 7761 Email: [email protected]

KUSMANTO INFORMATION TECHNOLOGY PT. DIAN CIPTA PERKASA

1/54

TATA KELOLA

TEKNOLOGI INFORMASI

PANDUAN

TATA KE- LOLA

TEKNOLOGI INFORMASI

DCP GROUP 2016



2/54

TATA KELOLA

TEKNOLOGI INFORMASI

PENDAHULUAN

Panduan PT. DIAN CIPTA PERKASA (DCP) Sistem Manajemen dibuat melengkapi Handbook DCP

Sistem Manajemen yang telah ada sebelumnya. Panduan Praktis menyajikan cara, langkah dan dokumen

yang digunakan untuk menerapkan sub system yang dibahas (lebih menjawab "how to").

Dalam perusahaan, Panduan Praktis disusun dengan tujuan untuk menjadi panduan bagi para

penanggung jawab pekerjaan yang berhubungan dengan sub sistem yang ada dalam DCP.

Pengguna Panduan Praktis DCP ini adalah para manager terkait sub sistem dan pelaksana

(implementor) yang akan menerapkan sub sistem DCP dalam perusahaan.

Seluruh sub sistem dibuat secara se-universal mungkin agar dapat diterapkan di berbagai unit bisnis di

DCP Group, beberapa contoh dan form dibuat dari berbagai bisnis baik manufacturing maupun non

manufacturing. Walaupun demikian, kasus spesial bisa saja terjadi untuk industri atau bisnis tertentu

yang dalam penerapan Panduan Praktis ini masih perlu adjustment dari para manager ataupun

pelaksana.

Panduan Praktis DCP menyajikan beberapa bagian :

1. Sasaran

2. Penjelasan Framework

3. Alur Proses atau Flowchart

4. Form dan contoh

Sasaran akan menjelaskan apa yang ingin dicapai atau deliverable dari sub system DCP dilanjutkan

dengan penjelasan dari masing-masing framework.

Alur proses akan menjelaskan cara atau langkah yang dapat dilakukan secara bertahap untuk menerapkan

sub system DCP, selanjutnya form terkait akan ditampilkan beserta contoh pengisian form untuk

memudahkan penerapan sub system DCP.

Form dan cara implementasi untuk setiap pratical guide dapat saling terkait satu sama lainnya, karena

sub system ini merupakan "bagian rumah" yang pasti akan saling mendukung fungsi masing-masing

seperti tertuang dalam House of DCP.

1. Framework

Information Technology Management (ITM) Framework adalah tata kelola IT sebagai standar bagi

manajemen, organisasi, pengguna dan penanggung jawab IT yang harus diimplementasikan di setiap perusahaan dalam DCP Group. Implementasinya disesuaikan dengan bidang usaha dan business process

masing-masing perusahaan. Fleksibilitas penerapan ITM bergantung pada prioritas objektif perusahaan

dan sumber daya IT yang dimiliki, dimana perusahaan harus menjalankan ke-34 sub proses



3/54

TATA KELOLA

TEKNOLOGI INFORMASI

berikut, namun prioritas proses yang akan dimaksimalkan tergantung kebijakan masing-masing

perusahaan. Assessment juga akan dilakukan terhadap ke-34 sub proses tersebut.

2. Pilar Plan and Organise

Proses Plan and Organise mencakup strategi dan taktik mengenai identifikasi bagaimana IT bisa

kontribusi kepada pencapaian tujuan bisnis. Realisasi visi IT diperlukan perencanaan, komunikasi dan

pengelolaan dari berbagai perspektif yang didukung oleh organisasi yang kuat, serta dukungan teknologi

yang tepat guna.



4/54

TATA KELOLA

TEKNOLOGI INFORMASI

Sasaran dari Plan and Organise adalah tersusunnya strategi IT yang selaras dengan strategi dan tujuan

perusahaan.

2.1 POl Define a Strategic IT Plan

Untuk bisa memberi kontribusi bagi pencapaian sasaran bisnis, IT menentukan strategi dan taktik yang

selaras dengan rencana perusahaan. Hal ini dicapai melalui :

2.1.1 Menyelaraskan strategi IT dengan bisnis

IT merupakan strategic partner dengan bisnis agar bisa mendukung perkembangan bisnis dan jalannya

operational sepenuhnya. Oleh karena itu strategi IT yang dituangkan dalam IT blueprint harus sejalan

dengan business blueprint kusmanto



5/54

TATA KELOLA

TEKNOLOGI INFORMASI

IT Blueprint

Aliran proses pembentukan IT blueprint

1. Identifikasi Core Process IT sebagai langkah awal dalam menentukan IT strategic map. Core

Process IT adalah aktivitas utama IT yang mendukung jalannya bisnis.

2. Core process IT tersebut lalu dipetakan terhadap Company Strategic Map sehingga didapat

pengelompokan company strategic objective yang sesuai dengan IT core process-nya

3. Langkah berikutnya adalah mengidentifikasi IT Goals yang mendukung Company Strategic

Objective dan Core Process IT tersebut. IT Goals didapat dari Linking IT Goals to IT Process

(lampiran 1).



6/54

TATA KELOLA

TEKNOLOGI INFORMASI

Tabel 1. Pemetaan IT Strategic Objectives

4. IT Strategic Map digambarkan setelah mengidentifikasi IT Strategic Objectives dengan

memisahkan antara Financial Perspective, Customer Perspective, Internal Business Process

dan Learning & Growth.

Gambar 4. Contoh Strategic Map

5. Langkah selanjutnya menentukan KPI yang mendukung pencapaian IT Strategic Objectives

dengan menggunakan alat bantu Gap Analysis untuk menentukan target 5 tahun ke depan.

6. Gunakan alat bantu TOWS matrix untuk mendapatkan IT strategic initiatives.

Strategicinitiatives mencakup initiatives dari 3 fungsi utama ITyaitu infrastructure,

development dan operation yang mengemban peran dan tanggung jawab yang berbeda.

(lampiran 2)

7. Langkah berikutnya menuangkan hasil analisa diatas kedalam tabel IT Blueprint.



7/54

TATA KELOLA

TEKNOLOGI INFORMASI

Tabel 2 Tabel IT Blueprint

8. Untuk mendukung IT Objectives dan IT Strategic Initiatives diperlukan organisasi IT yang kuat

dan mendukung proses tersebut. Organisasi IT yang baik mempunyai 3 fungsi utama yaitu infrastructure, IT Operation dan IT Development, namun bisa dikembangkan dengan fungsi-

fungsi lain seperti fungsi QA yang disesuaikan dengan kebutuhan.

Gambar 5 Contoh Organisasi IT

Activity Plan

Strategic initiatives yang telah didapat atau diidentifikasikan, diturunkan menjadi Activity plan

tahunan IT yang dilaksanakan pada saat planning cycle.

Activity Plan dan penjelasan detailnya mengacu ke Strategic Management dan ME1

Performance measurement

2015 2016 2017 2018 2019 2020

Improve IT Cost Efficiency % of reduction cost 2% 2,50% 3,50% 5,00% 7,50% 10%- Third party services

- Reduce IT Operation Costs

Create IT Agility % of completion 50% 60% 70% 80% 90% 100% - Develop core business system

Acquire and maintain integrated application and infrastructure

% of application project

% of Infrastructure project50%

60% 70% 80% 90% 100%

- Develop IT integrated System

- Modernize IT Peripheral and Com

Deliver project on time and budget% on time delivery 50% 60% 70% 80% 90% 100%

- Third party services

- Implement project monitoring sytem

IT Services available as required % of SLA 90% 92% 94% 96% 97% 98%

- Improve resources availability

- Improve Security System

- Modernize IT peripheral and com

Ensure IT Compliance with laws% of compliance 50% 75% 100% 100% 100% 100%

- Develop standard process

- Enhance IT management System

Acquire and maintain IT skill # Number of training 1 2 3 4 5 6 - Leverage IT Skills

% of gap competencies 30% 25% 17% 10% 5% 0%

Provide new knowledge and

challenges

Continuous Improvement # of project completion 2 2 2 3 3 4 - Third party services

YearKPIStrategic Objectives IT Strategic Initiatives Budget



8/54

TATA KELOLA

TEKNOLOGI INFORMASI

Activity plan perlu direWew secara berkala (monthly atau quarterly) dan setiap hasil review

ditulis dalam notulen lengkap dengan daftar hadir.

2.1.2 Memahami kemampuan sumber daya IT

Untuk mengetahui kemampuan sumber daya IT, rnaka perlu dilakukan analisa terhadap kapabilitas,

performa, dan jasa layanan ITsaat ini, sebagai dasar agar bisa membandingkan dengan kebutuhan bisnis

di masa depan. Perlu dilakukan pendefinisian atas performa dan kontribusi IT kepada tujuan bisnis,

fungsional, stabilitas, kompleksitas, biaya, serta kekuatan dan kelemahannya.

Analisa kemampuan sumber daya IT mencakup sumber daya manusia, sumber daya infrastruktur, sumber

daya aplikasi, dan sumber daya informasi. Dalam menganalisa kapabilitas dan kinerja sumber daya IT,

mengacu ke DS3.

Hal-hal yang perlu diperhatikan dalam menganalisa kapabilitas sumber daya IT:

Kontribusi terhadap bisnis.

Biaya yang diperlukan.

Resiko yang mungkin timbul.

Perkembangan teknologi.

Efektivitas dari penggunaan sumber daya yang ada.

Identifikasi kebutuhan dimasa yang mendatang.

2.1.3 Membuat skema prioritas bisnis

Skema prioritas bisnis menjelaskan prioritas pada IT operational maupun development yang didapat

dari activity plan.

Tabel 3. Contoh skema prioritas bisnis

Perhitungan prioritas dilakukan dengan mengalikan antara bobot dan point yang terkait dengan item

tersebut. Contoh kasus prioritas:

No Nama Bobot 5 4 3 2 1 0

1 Impact to bus iness 40% High Med Low

2 Budget 20% Tersedia Pending Ditolak

3 Resources 15% Sepenuhnya tersedia Sebagian tersedia Tidak ada

resources

4 Arahan Management 15% Permintaan

Management

Tidak ada

Permintaan

5 Regulas i 5% Tuntutan Regulas i Ada regulas i tapi tidak

mengikat

Tidak ada regulas i

eksternal

6 Relas i s takeholder 5% Adanya relas i dengan

seluruh stakeholder

Tidak seluruh

stakeholder

Tidak ada relas i

dengan stakeholder



9/54

TATA KELOLA

TEKNOLOGI INFORMASI

Kasus I:

Permintaan manajemen untuk mengimplementasi sebuah sistem yang mendukung operational HRD.

Dalam contoh ini budget masih menunggu persetujuan namun sumber daya lainnya sudah tersedia.

Kasus II:

Regulasi pemerintah menuntut untuk merubah sebuah proses yang sudah ada dan bila tidak

dilaksanakan akan dikenakan sangsi.

Dengan contoh kedua kasus di atas dilakukan perhitungan sebagai berikut:

Tabel 4. Perhitungan prioritas IT

Maka kasus atau permintaan yang akan dikerjakan oleh IT terlebih dahulu dan menjadi fokusnya adalah

perubahan oleh regulasi pemerintah dikarenakan nilai prioritas yang tinggi.

2.2 P02 Define the Information Architecture

Arsitektur informasi IT adalah pemetaan atau perencanaan desain sistem komputerisasi (termasuk

jaringan komputer) suatu organisasi. Identifikasi dan definisi arsitektur informasi yang berguna untuk

mengoptimalkan penggunaan informasi, memenuhi kebutuhan bisnis, serta memastikan integritas dan

konsistensi data secara baik.

2.2.1 Membuat arsitektur informasi

Model Arsitektur informasi secara standar terbagi dari beberapa lapisan yang memungkinkan untuk

mengorganisir, merencanakan, dan membangun satu struktur informasi.

Setiap layer diidentih'kasi tergantung arsitektur masing-masing perusahaan; walaupun diidentifikasikan

secara terpisah, masing-masing layer sebaiknya saling berhubungan dan saling menjalin satu sama lain.

Proses analisa terhadap perubahan arsitektur informasi sebaiknya dilakukan secara berkala minimal satu

tahun sekali.

Point I BxP I Total Point II BxP II Total

Impact to bus iness 40% 3 1,2 5 2

Budget 20% 3 0,6 0 0

Resources 15% 5 0,75 5 0,75

Arahan Management 15% 5 0,75 3 0,45

Regulas i 5% 0 0 5 0,25

Relas i Stakeholder 5% 3 0,15 5 0,25

3,45 3,7

Kriteria BobotKasus I Kasus II



10/54

TATA KELOLA

TEKNOLOGI INFORMASI

Gambar 6. Arsitektur informasi

2.2.2 Data modeling (membuat model data)

Setiap perusahaan sebaiknya memiliki model data dari aplikasi yang berjalan. Salah satu bentuk

dokumentasi model data adalah kamus data. Kamus data adalah kumpulan informasi mengenai data

yang menjelaskan:

• Tipe data

• Hubungan antar tabel

• Format

• Ukuran data

Kamus data dibuat menggunakan Tabel yang secara deskriptif menjelaskan seluruh data yang

diidentifikasi.

Tabel 5. Contoh data dictionary dan ownership

NAMA NAMA FIELD DESKRIPSI TIPE FORMAT NAMA FILE APLIKASI OWNER

CUSTOMER CustID ID Pelanggan char 9999 CUSTOMER APP1 Marketing Dept

CustName Nama Pelanggan varchar2(19) Xxxxxxxxxxx

CustLastName Nama Akhir Pelanggan varchar2(19) Xxxxxxxxxxx

CustAddress Alamat Rumah Pelanggan varchar2(19) Xxxxxxxxxxx

CustZip Kodepos Pelanggan number 99999

CustEmai l Alamat Emai l Pelanggan varchar2(19) [email protected]



11/54

TATA KELOLA

TEKNOLOGI INFORMASI

2.2.3 Kepemilikan data & Klasifikasi data

Setiap data harus mempunyai kepemilikan utama terhadap data tersebut. Contoh digabungkan pada Tabel

5. Contoh data dictionary dan ownership.

2.2.4 Skema Klasifikasi informasi

Klasifikasi data sebaiknya tertuang di dalam kebijakan IT sebelum ditentukan klasifikasi seperti di

bawah.

Skema Klasifikasi data digunakan untuk mendefinisikan tingkat keamanan data dari suatu organisasi.

Klasifikasi keamanan data bisa mencakup hak memperbanyak data, hak akses dan sebagainya.

Tabel 6. Contoh klasifikasi data

Contoh klasifikasi keamanan data adalah sebagai berikut (bisa ditambah sesuai kebijakan perusahaan):

• Public

Klasifikasi ini diberikan kepada data yang tersebar secara umum atau memang dimaksudkan

untuk disebarkan ke luar organisasi. Informasi ini bisa secara bebas disebarkan tanpa memberi

dampak negatif ke perusahaan.

• Internal Use Only

Klasifikasi ini diberikan atas informasi atau data yang hanya relevan dipergunakan untuk

lingkungan internal perusahaan. Penyebaran yang tidak sah, modifikasi atau penghapusan data

terkait tidak akan menimbulkan dampak yang serius kepada perusahaan, karyawan, rekan bisnis

atau pelanggan.

• Confidential

Klasifikasi Data DataPubl ic Product Category

Dokumen user guideDokumen asset IT

Internal use only Materi Tra iningVendor l i s t (Vendor master data)Functional speci fication

Confidenta l User master dataIP Address userLaporan KeuanganKontrak Kerja sama

Restricted confidentia l Payrol lPassword userPassword domainPassword mai l server



12/54

TATA KELOLA

TEKNOLOGI INFORMASI

Klasifikasi ini diberikan atas informasi atau data yang dimaksudkan untuk digunakan hanya di dalam lingkungan perusahaan. Penyebaran yang tidak sah bisa secara langsung memberi dampak

buruk kepada perusahaan maupun stakeholders-nya.

• Restricted Confidential

Klasifikasi ini diberikan kepada informasi atau data yang tergolong sangat sensitive yang

penyebarannya hanya kepada internal organisasi, atau bahkan hanya kepada individu-individu

tertentu. Penyebaran yang tidak sah dapat secara serius merugikan organisasi maupun

stakeholders-nya.

2.3 P03 Determine Technological Direction

Arah teknologi menentukan fungsi layanan IT yang mendukung jalannya bisnis. Hal ini membutuhkan

perencanaan infrastruktur teknologi yang sesuai supaya memiliki system yang terintegrasi dan standar

dan mempunyai kemampuan untuk menyokong kebutuhan bisnis.

2.3.1 Menyusun Arsitektur Infrastruktur

Setiap perusahaan sebaiknya mempunyai perencanaan pengembangan infrastruktur yang sesuai dengan

arah perkembangan dan kebutuhan teknologi maupun kebutuhan bisnisnya. Arsitektur infrastruktur

menjelaskan bagaimana perusahaan menghubungkan network secara fisik. Proses analisa terhadap

perubahan arsitektur infrastruktur sebaiknya dilakukan secara berkala minimal satu tahun sekali.

2.3.2 Menetapkan rencana infrastuktur IT



13/54

TATA KELOLA

TEKNOLOGI INFORMASI

Rencana infrastruktur IT ditetapkan oleh PIC IT yang

menggambarkan topologi infrastruktur yang diinginkan yang sejalan dengan kebutuhan IT dan bisnis.

PIC IT juga menetapkan milestone atau jangka waktu akuisisi teknologi untuk memenuhi kebutuhan

topology infrastruktur yang baru.

Hal-hal yang diperhatikan dalam menyusun infrastruktur:

• Core switch digunakan sebagai switch utama yang lalu terhubung ke hub/ switch.

• Jumlah hop dari client ke server direkomendasikan tidak lebih dari 3 hop.

• Firewall selalu diletakkan di depan, sehingga setiap komunikasi yang masuk melalui

firewall terlebih dahulu.

2.3.3 Mendefinisikan teknologi infrastruktur IT

Standar Teknologi adalah satu set kebutuhan teknologi yang perlu dipenuhi secara material, produk

maupun layanan. Jika ada satu material, produk maupun layanan yang tidak memenuhi standar

teknologi, diklasifikasikan sebagai out of specification.

Dokumentasi standar teknologi diikut sertakan bersama dengan dokumentasi topology untuk

mempermudah proses akuisisi barang.

Adapun yang bisa diklasifiksikan sebagai berikut:

• Standard Server

o Standar kapabilitas server:

• Processor

• RAM

• HDD / RAID.

• Storage.

• Standard Operating System.

o Standard kelengkapan peralatan secara menyeluruh

• Lisensi

• Garansi

• Standard Network

o Peralatan untuk networking



14/54

TATA KELOLA

TEKNOLOGI INFORMASI

• Spesifikasi peralatan network yang digunakan seperti switch, router, firewall

dan lain sebagainya.

• Desain topology dari network.

• Standard Client

o Standard Notebook atau PC

• Processor

• RAM

• HDD

o Standard kelengkapan peralatan secara menyeluruh

• Lisensi

• Garansi

• Keyboard & Mouse

Tabel 7. Tabel dokumen teknologi standard

Penggunaan peralatan network sebaiknya mengikuti dan sejajar dengan perkembangan perusahaan

dalam 5 tahun ke depan.

2.4 P04 Define the IT Processes, Organisation, and Relationships

Dalam merespon strategi dan kebutuhan bisnis, IT harus memiliki fleksibilitas yang memadai.

Fleksibilitas ini didefinisikan dengan proses IT yang mengarah pada proses PDCA dan struktur

organisasi.

2.4.1 Definisi kerangka proses IT

Kerangka proses IT kembali mengarah kepada proses

PDCA atau Plan, Do, Check, dan Action.

Kriteria User Server

Harddisk 320 GB 1 TB RAID 5

Processor Intel Based Intel Based

RAM 2GB RAM Minimum 8GB RAM

OS Windows based Windows/Linux Based

Perangkat Lainnya Anti virus, Garansi, Optical Mouse Anti Virus, Garansi, UPS



15/54

TATA KELOLA

TEKNOLOGI INFORMASI

Plan

Pada awal proses, IT melakukan perencanaan

mengenai proyek yang akan dijalankan, dituangkan

dalam dokumen perencanaan proyek atau project plan.

Proses ini adalah proses penting dalam kerangka PDCA

karena perencanaan proyek sebaiknya layak untuk

dijalankan. Untuk detail mengenai perencanaan proyek

dan dokumentasi project plan bisa mengacu ke PO10.

Do

Setelah project charter disetujui, lalu IT melaksanakan atau mengeksekusi proyek sesuai perencanaan

proyek. Setelah proyek atau produk selesai dikembangkan, dilakukan juga internal testing, QA, dan

user acceptance testing sebelum produk atau jasa layanan IT

tersebut di implementasi.

Check

Pada proses ini, dilaksanakan post implementation review yang bertujuan untuk merew'ew produk

atau jasa layanan yang telah di implementasi. Di proses ini di analisa kekurangan dan kelebihan produk

atau jasa layanan tersebut dengan membandingkan cost-benefit yang diidentifikasi dari feasibility

study, dengan actual.

Action

Proses Action ini mengarah kepada langkah yang akan diambil atau koreksi yang harus dilakukan

setelah post implementation review. Apakah akan merubah produk tersebut, menambah module baru

atau bahkan shut down produk tersebut.

2.4.2 Menetapkan struktur Komite IT

Di samping organisasi struktural IT diperlukan juga komite IT yang terdiri dari steering dan strategic

committee seperti tergambar di bawah ini.

Plan

DoCheck

Act



16/54

TATA KELOLA

TEKNOLOGI INFORMASI

Komite strategi IT VS Komite Steering IT

Komite Strategi IT

Level Board Level

Tanggung jawab Tanggung jawab komite strategi IT lebih focus kepada memberikan masukan atau menasihati

management perihal perkembangan IT dari kacamata bisnis serta memberi arahan kepada

management mengenai strategi-strategi IT.

Hal-hal yang didiskusikan oleh komite strategi IT kepada management termasuk:

Perkembangan IT dari Sisi Bisnis

Penyelarasan IT dengan Bisnis Pengadaan sumber daya IT

Manajemen risiko IT

Perkembangan proyek-proyek IT berjalan

Kewenangan Memberikan masukan atau menganjurkan dewan direktur dan/atau manager perihal strategi

IT

Fokus kepada permasalahan IT terkini maupun yang akan dating

Member Manajemen

Tabel 8. Komite Strategi IT

Komite Streering IT

Level Executive/Management Level

Tanggung jawab Tanggung jawab komite steering IT memberikan arahan terhadap suatu proyek IT.

Hal-hal yang menjadi tanggung jawab komite steering IT termasuk:

Memberi masukan perihal budgeting IT secara keseluruhan Memberi masukan perihal penyelarasan arsitektur IT dengan bisnis

Memberi masukan rencana proyek IT, dan monitoring jalannya proyek termasuk

sumberdaya dan konflik prioritas

Kewenangan Memonitor proyek IT dan jasa layanan IT



17/54

TATA KELOLA

TEKNOLOGI INFORMASI

Fokus kepada implementasi jasa layanan IT

Member Executive/Manajemen

Penasihat inti (IT, audit, legal, finance)

CIO

Tabel 9. Komite Steering IT

2.4.3 Menetapkan peran dan tanggung jawab IT

Mengidentifikasi peran dan tanggung jawab IT secara fungsional yang mendukung proses IT secara

keseluruhan. Fungsi Peran Tanggung Jawab

Development Analisa kebutuhan pengguna dan develop aplikasi terpadu

Menganalisa kebutuhan atau kebutuhan pengguna untuk sebuah sistem atau aplikasi dan menerjemahkan dalam dokumen System Development Life Cycle (SDLC) Mengembangkan dan menyerahkan aplikasi yang diminta sesuai dengan kebutuhan pengguna. Pembuatan dan pengujian program terkait pemakaian teknologi yang dibutuhkan. Melakukan QA testing terhadap aplikasi yang akan diimplementasi dan membantu proses UAT (User Acceptance Test)

Infrastruktur Pengembangan Infrastruktur terpadu Membantu mengembangkan network yang terkait dengan proyek seperti pemasangan perangkat keras maupun lunak yang diperlukan Mengembangkan infrastruktur network termasuk LAN, WAN, Internet, Intranet, Wireless, Security dan sebagainya Membantu memelihara infrastruktur IT seperti ruang server, server, internet, database dan lain-lain



18/54

TATA KELOLA

TEKNOLOGI INFORMASI

Memastikan keamanan data termasuk Disaster Recovery Center (DRC) dan jasa layanan IT agar selalu tersedia kepada pengguna.

Operation Membantu management asset IT termasuk troubleshoot masalah peripheral IT

Membantu penanganan masalah infrastruktur atau aplikasi yang terkait, termasuk masalah perangkat keras Hardware: Mengerti cara instalasi perangkat keras, mengganti maupun membeli perangkat keras. Software: Mengerti cara instalasi perangkat lunak update maupun purchasing/membeli perankgat keras dan pembaruan lisensi.

Tabel 10. Tabel dokumentasi peran dan tanggung jawab

2.5 P05 Manage the IT Investment

Pengelolaan investasi IT sebaiknya dapat memenuhi kebutuhan bisnis secara berkelanjutan.

2.5.1 Memprediksi dan alokasi anggaran IT

Pada saat planning cycle, IT mengajukan perencanaan anggaran. Perencanaan anggaran dikategorikan

menjadi 2 (dua), yaitu operation expenses dan Investment.

Bagan pembagian alokasi anggaran :



19/54

TATA KELOLA

TEKNOLOGI INFORMASI

Operation expenses

Operation expense termasuk biaya yang akan dikeluarkan secara reguler, seperti Annual

licensing, utility (internet), maintenance, training, dsb.

Investment

Investment termasuk biaya yang dikeluarkan untuk keperluan asset seperti pengadaan asset IT,

implementasi sistem, dsb. Dilakukan juga tracking budget secara berjalan yang berguna untuk

cost management.

2.5.2 Menentukan kriteria investasi

Proses seleksi investasi IT sebaiknya dilaksanakan oleh satu tim peninjau termasuk (dan tidak terbatas

kepada) IT Steering dan Strategic Committee. Komite akan memilih aktivitas ari activity plan yang

akan diutamakan untuk dijalankan.

Hal-hal yang perlu diperhatikan sebelum memutuskan suatu investasi IT adalah sebagai berikut:

Sumber daya perusahaan

Struktur organisasi

Rencana strategis perusahaan

Bisnis proses

Dan faktor lainnya yang mempengaruhi implementasi IT.

2.5.3 Mengukur dan menilai bisnis untuk investasi IT



20/54

TATA KELOLA

TEKNOLOGI INFORMASI

Gambar 10. Flow process pembuatan Feasibility study (FS)

Develop Feasibility Study (FS) Document

Dokumen Feasibility study terdiri dari:

o Tujuan feasibility study

Menjelaskan tujuan serta garis besar proyek tersebut.

o Time frame project

Menjelaskan time frame project yang akan dijalankan, bisa menggunakan

Gantt chart atau work breakdown structure.

o Organisasi proyek

Menjelaskandengan diagram hirarkitim proyek termasuk steering committee

project.

o Deskripsi produk

Menjelaskan uraian produk yang akan diadakan, atau menjelaskan mengenai

jasa layanan IT yang akan dikembangkan.

o Analisa kelayakan proyek

Melakukan studi kelayakan yang merupakan inti dari dokumen ini,

berdasarkan:

• Quality

• Cost

• Delivery

• Safety

• Morale

• Environment

• Service

o Analisa risiko, solusi alternatif

Melakukan analisa risiko, dan rencana mitigasi risikonya. Bisa mengacu ke

P09 untuk lebih detailnya.

o Kesimpulan dan rekomendasi

Development FS Document

FS

AgreementDevelopment & Implementation

Phase

PostImplementation

ReviewFS

Planned /Actual

No

Yes



21/54

TATA KELOLA

TEKNOLOGI INFORMASI

Memberi kesimpulan dari dokumen dan

rekomendasi apakah proyek yang

akan dijalankan layak atau tidak.

Agreement (Persetujuan FS)

Dokumen analisa kelayakan yang sudah selesai disusun, direview oleh stakeholder proyek terkait

untuk dievaluasi dan disetujui.

Post Implementation Review

Post implementation review akan membandingkan cost/benefit yang tertulis di feasibility study

termasuk juga QCDSMES dan actual benefit yang dihasilkan dari proyek. Hasil akhir bisa berupa

koreksi-koreksi untuk memperbaiki proyek, menambah modul, atau bahkan menghentikannya jika

biaya aktual melebihi benefit yang dihasilkan.

2.6 P06 Communicate Management Aims and Directions

IT mengembangkan kerangka kerja kontrol serta merumuskan dan mengkomunikasikan kebijakan IT

yang bertujuan untukmenyelaraskan pencapaian sasaran IT dengan kebijakan perusahaan.

2.6.1 Mengembangkan Kerangka kerja untuk kontrol IT

Kerangka kerja IT tercermin dalam activity plan yang ditetapkan di awal tahun. Kerangka kerja IT

termasuk KPI IT yang secara regular direview oleh internal IT meialui monthly review sehingga

dapat mengantisipasi risiko-risiko yang mungkin timbul. Dengan demikian manajemen dapat

mengembangkan kebijakan-kebijakan maupun koreksi-koreksi untuk memastikan tercapainya tujuan.

2.6.2 Merumuskan Kebijakan IT

Kebijakan IT berupa peran dan tanggung jawab IT, guideline atau job description staff IT, Panduan

Praktis, prosedur maupun standar yang telah dikembangkan.

IT juga bisa mengeluarkan kebijakan yang menyangkut lingkungan bisnis, misalnya meningkatkan

value delivery dari jasa dan layanan IT, termasuk juga manajemen aset IT.

Contoh kebijakan IT:

• Kebijakan penggunaan email dengan domain perusahaan untuk transaksi formal antara pihak

internal maupun external.

• Kebijakan penggunaan password dan karateristik password untuk menjaga kerahasiaan

perusahaan seperti gabungan dari angka atau huruf, minimal 8 karakter dan sebagainya.

• Kebijakan penggunaan notebook perusahaan dan pribadi. • Kebijakan penggunaan perangkat lunak illegal.



22/54

TATA KELOLA

TEKNOLOGI INFORMASI

• Kebijakan dalam penggunaan server file atau local

harddrive seperti data apa saja yang boleh di-upload, pengeksekusian data dari server file

yang bisa membebani server dan sebagainya.

*) Kebijakan di atas tidak mengikat kepada perusahaan namun sebagai contoh atau sebagai requirement minimum.

2.6.3 Mengkomunikasikan dan menjalankan kebijakan IT

Kebijakan IT tertera pada sebuah dokumen atau email yang disebarkan ke seluruh pengguna agar

diketahui dan dimengerti oleh seluruh karyawan. Kebijakan IT juga mencakup dokumen yang harus

ditandatangani oleh pengguna sesuai dengan ruang lingkupnya yang diatur oleh masing-masing

perusahaan.

Gambar 11. Proses penetapan kebijakan

IT secara rutin akan mengevaluasi penerapan kebijakan IT yang sudah ditetapkan dan akan melakukan

perubahan (ACT) sesuai dengan informasi (INFORMATION) yang didapat. Proses evaluasi ini

sebaiknya dilakukan minimal setahun sekali.

2.7 P07 Manage IT Human Resources

Personil IT yang kompeten dibutuhkan untuk menjamin ketersediaan layanan IT sesuai kebutuhan

bisnis meialui proses rekrutmen, pelatihan, evaluasi kinerja, promosi dan terminasi.

2.7.1 Evaluasi kinerja personil IT

Evaluasi kinerja personil IT dilaksanakan dengan membandingkan antara kinerja asing-masing dengan

tujuan perusahaan yang tertera di dalam activity plan. Selain itu dibandingkan juga dengan standar yang

sudah ditetapkan atau dengan job description masing-masing.

2.7.2 Merekrut dan mengembangkan personil IT



23/54

TATA KELOLA

TEKNOLOGI INFORMASI

Merekrut dan mengembangkan personil IT mengacu pada

Panduan Praktis People Management, yaitu:

1. Attract.

Proses mencari dan menyeleksi kandidat dari internal atau ekstemal untuk memenuhi man power

planning.

2. Develop.

Proses yang mencakup kegiatan perencanaan untukpengembangan karyawan agar bisa memenuhi

atau mencapai kinerja yang dibutuhkan. Perencanaan training atau pengembangan karyawan

mengikuti IT Skill matrix pada DS3 dan detail training pada DS7.

3. Deploy

Proses yang mencakup penempatan orang pada posisi yang sesuai dengan kemampuan yang

dimilikinya agar dapat berkontribusi secara optimal.

2.7.3 Ketergantungan terhadap personil IT

Untuk mengurangi risiko ketergantungan terhadap personil IT, rnaka dilakukan langkahlangkah

sebagai berikut :

o Mengidentifikasi daftar personil kunci yang memegang proses penting.

o Mendokumentasikan pengetahuan yang dimiliki personil kunci.

o Melakukan knowledge sharing.

o Merencanakan kaderisasi personil kunci.

o Menyiapkan personil cadangan.

Nama Pekerjaan Critical Alasan

Antonius IT Infrastruktur High Memegang kunci admin network

Memegang peranan dalam pengembangan

infrastruktur dan pemeliharaan infrastruktur

dalam hal keamanan server.

Budi IT Development Low Developer team, menganalisa kebutuhan

pengguna atas aplikasi, dan mengembangkan

aplikasi.

Troubleshoot aplikasi atau program memakai

tools yang dibutuhkan.

Hendra IT Operational Support Med Mengerti cara instalasi perangkat keras,

troubleshoot perangkat keras maupun

perangkat lunak.

Mempunyai link ke vendor.

Tabel 11. Daftar staf kunci

2.8 P08 Manage Quality

Sistem pengelolaan mutu (QMS: quality management system) disusun dan dikembangkan sesuai

prosedur yang disepakati. Prosedur ini penting untuk memastikan bahwa IT memberikan nilai tambah

bagi perusahaan dengan melakukan perbaikan terus-menerus dan transparan.



24/54

TATA KELOLA

TEKNOLOGI INFORMASI

2.8.1 Menentukan standar mutu

QMS adalah proses standarisasi mutu yang mencakup proses design, develop dan deliver. Hal-hal

yang perlu diperhatikan dalam setiap tahap pengembangan produk adalah sebagai berikut:

• Design & Build

Desain harus dipimpin dan dipertanggung jawabkan oleh senior manager agar sesuai dengan

kebutuhan organisasi antara lain standar coding, standar interface dan Iain-Iain.

Fungsi Quality Assurance memastikan dokumentasi yang lengkap, dijelaskan secara mendetail

di pilar AI yaitu fokus kepada utmost customer satisfaction.

• Deployment

Implementasi dilakukan dengan memecah proses menjadi sub proses yang didokumentasikan,

melakukan pelatihan dan penggunaan tools.

• Control

Proses kontrol yang efektif berisi dokumentasi key stakeholders dan process owner. Proses

owner diperbolehkan untuk mengontrol semua proses dan idealnya terlibat dalam pembuatan

dokumen.

2.8.2 Pemantauan dan evaluasi standar mutu

Evaluasi standar mutu dijalankan untuk mengukur serta menganalisa efektivitas dan efisiensi setiap

proses IT yang berjalan untuk mencapai tujuannya.

Untuk menganalisa, rnaka bisa dilakukan dengan mengukur:

1. Kebijakan dan proses IT

2. Penggunaan layanan IT

3. Penggunaan QMS

4. Manfaat QMS

5. Implementasi QMS dalam job description

2.8.3 Perbaikan pengelolaan standar mutu

Perbaikan pengelolaan standar mutu mengikuti hasil dari proses review dan pengukuran dengan tujuan

untuk mencapai best practices IT.

Proses review QMS meliputi konsistensi pelaksanaan proses QA, kelengkapan dokumentasi dan

pelaksanaan audit berkala.

Beberapa contoh standarisasi yang dapat digunakan dalam QMS adalah ISO 9000 (dokumentasi dan

proses), ISO 27000 (IT Security), ITIL dan sebagainya.



25/54

TATA KELOLA

TEKNOLOGI INFORMASI

2.9 P09 Manage IT Risks

Risiko IT terjadi jika ada perubahan dalam suatu proses atau adanya sistem baru yang diimplementasikan.

Risiko tersebut berpotensi akan berulang setelah implementasi.

Antisipasi yang tepat atas terjadinya suatu risiko bisa memberikan kesempatan bahkan keuntungan bagi

perusahaan jika manajemen risiko dilaksanakan secara tepat guna dan analisa yang dilakukan juga tepat.

2.9.1 Penerapan pengelolaan risiko

Pengelolaan risiko mengacu kepada Panduan Praktis Risk Management dengan tahap-tahap sebagai

berikut:

Tahap 1. Menentukan konteks

Pada tahap ini manajemen menetapkan batasan dan parameter yang dijadikan acuan dalam pelaksanaan

proses manajemen risiko. Batasan dan parameter disesuaikan dengan kondisi dan kebutuhan setiap

perusahaan. Faktor risiko IT yang mungkin terjadi di dalam sistem informasi diidentifikasi, termasuk

didalamnya masalah serta konsep pengoperasian keamanan sistem yang semuanya bersifat strategis.

Tahap 2. Identifikasi risiko

Tahap ini merupakan tahap dimana konstruksi atas sistem dilaksanakan. Pada proses ini, faktor risiko

diidentifikasikan selama tahap ini dilalui, dapat berupa analisa atas keamanan sistem sampai dengan

kemungkinan yang timbul selama masa konstruksi sistem dilaksanakan.

Sumber Ancaman Alasan Aksi yang timbul

Hacker, Cracker Tantangan Ego Memberontak

Hacking Social Engineering Gangguan Sistem Akses terhadap sistem

Kriminal Perusakan Informasi Penyingkapan informasi secara ilegal Keuntungan moneter Merubah data

Tindak kriminal Perbuatan curang Penyuapan Penipuan Intrusi sistem

Teroris Surat Kaleng Perusakan Peledakan Balas Dendam

Bom/Teror Perang Informasi Penyerangan Sistem Penetrasi sistem

Mata-mata Persaingan usaha Mata-mata ekonomi

Pencurian informasi Social Engineering



26/54

TATA KELOLA

TEKNOLOGI INFORMASI

Penetrasi sistem

Orang dalam organisasi

Keingintahuan Ego Mata-mata Balas Dendam Kelalaian kerja

Sabotase sistem Pencurian/penipuan Perubahan data Virus, trojan, dll Penyalahgunaan komputer

Tabel 12. Contoh identifikasi risiko

Tahap 3. Analisa risiko

Pada tahap ini kebutuhan atas keamanan sistem diidentifikasi dan dikonfigurasikan, aplikasi sistem diuji-

coba dan diverifikasi. Faktor risiko dirancang guna mendukung proses pelaksanaan atas implementasi

sistem informasi, sehingga kebutuhan riil di lapangan serta pengoperasian yang benar dapat

dilaksanakan.

Vulnerability Sumber Ancaman Aksi yang timbul

ID Staff yang sudah keluar belum dihapus dari sistem

Staff yang sudah keluar Menggali informasi di dalam network perusahaan

ID Guest dibolehkan di Server XYZ Unauthorized user Memperoleh unauthorized acces ke fle sensitif

Server memperbolehkan inbound telnet

Unauthorized user, hacker atau criminal computer

Memperoleh unauthorized access ke file yang sensitif

Server memperbolehkan ping IP address diperoleh Memperoleh ip address untuk melakukan tindakan yang bisa merugikan.

Tabel 13. Contoh analisa vulnerability

Tahap 4. Evaluasi risiko

Pada tahap ini dilakukan evaluasi terhadap risiko yang telah dianalisa, agar manajemen bisa mengambil

keputusan yang tepat. Tingkatan risiko merupakan gabungan dari kemungkinan terjadinya (likelihood)

dengan dampak yang ditimbulkan (magnitude of impact).

Dari analisa di atas, manajemen akan menentukan risiko yang akan mendapat prioritas. Evaluasi

ditentukan dengan pertimbangan manajemen seperti kebijakan risiko perusahaan, pengalaman dan data

risiko lainnya.

Tipe risiko Likelihood Definition Magnitude of Impact Tingkatan Risiko



27/54

TATA KELOLA

TEKNOLOGI INFORMASI

Hacking, Hacker Medium High Medium

Orang dalam perusahaan, Sabotase sitem

High Medium High

Teroris, Bom / Teror Low High Low

Table 15. Table contoh analisa tingkatan risiko

Likelihood level Likelihood definition

High Kemungkinan terjadinya risiko tinggi, Potensi risiko mempunyai kemampuan yang cukup untuk mengeksploitasi vulnerability. Kontrol yang ada belum efektif untuk mencegah tereksploitasinya vulnerability.

Medium Kemungkinan terjadinya risiko medium. Namun kontrol yang diimplementasi bisa menghalangi eksploitasi vulnerability.

Low Sumber potensi risiko rendah dan kontrol yang diimplementasi bisa mencegah atau secara signifikan dapat menghalangi risiko untuk mengeksploitasi vulnerability.

Magnitude of Impact Impact Definition

High (1) Dampak yang dihasilkan bisa sangat merugikan perusahaan dalam bentuk tangible asset.

(2) Bisa secara signifikan mempengaruhi dan menghancurkan misi organisasi atau tujuan organisasi bahkan reputasi organisasi.

(3) Dampak menyebabkan kematian maupun kecelakaan serius.

Medium (1) Dampak yang dihasilkan bisa merugikan perusahaan dalam bentuk tangible asset

(2) Bisa mempengaruhi reputasi, misi atau tujuan organisasi namun tidak terlalu signifikan.

(3) Dampak menyebabkan kecelakaan.

Low (1) Dampak rendah terhadap tangible asset (2) Damapak terhadap repuasi perusahaan rendah

Tabel 14. Likelihood & Magnitude of Impact

Tahap 5. Penanganan risiko

Pada tahap ini sistem informasi yang telah berkurang kinerjanya perlu diganti dengan sistem baru yang

lebih baik. Manajemen risiko yang perlu diperhatikan dalam tahap ini adalah memastikan proses

pemusnahan atas komponen-komponen sistem informasi dapat berjalan dengan baik, terkelola dari segi

keamanan.

Risk mitigation

Mitigasi risiko adalah proses dimana risiko diidentifikasi, diprioritaskan, dievaluasi dan dikontrol agar

bisa mengurangi efek risiko tersebut. Berikut adalah beberapa tindakan kontingensi yang bisa dilakukan

untuk mengantisipasi risiko.



28/54

TATA KELOLA

TEKNOLOGI INFORMASI

1. Risk Avoidance

Menghindari risiko dengan menyingkirkan penyebab suatu risiko. Contoh adalah mematikan

seluruh sistem atau serverjika terdeteksi adanya risiko seperti hacking atau malicious software.

2. Risk Assumption

Menghindari atau mengurangi terjadinya risiko dengan menerima potensi risiko dan melanjutkan

operasi IT atau implementasi kontrol baru.

3. Risk Limitation

Membatasi risiko dengan mengimplementasikan kontrol yang bisa meminimalisir dampak dari

eksploitasi vulnerability.

4. Risk Planning

Pengelolaan risiko dengan mengembangkan sebuah rencana mitigasi yang memprioritaskan

implementasi dan pemeliharaan kontrol.

5. Risk Transference

Memindahkan dampak yang dihasilkan dari risiko untuk kompensasi kerugian yang dihasilkan

seperti menggunakan asuransi atau pihak ketiga.

Khusus untuk penanganan risikoyang ruang lingkupnya lebih luas dan dampaknya sangat

berbahaya setelah ditafsir oleh manajemen, perlu dipersiapkan dokumen Business Continuity

Plan (BCP).

2.9.2 Monitoring dan Review

Dalam monitoring dan review yang perlu diperhatikan adalah metode monitoring, PIC yang

bertanggung jawab serta frekwensi review. Tujuannya untuk menghindari dari risiko yang tidak terduga.

2.9.3 Sosialisasi rencana tindakan risiko

Setelah tingkatan risiko diketahui selanjutnya adalah membuat rekomendasi penanganan risiko dan

mensosialisasikan ke pihak terkait. Rekomendasi tersebut meliputi beberapa

hal sebagai berikut:

1. Rekomendasi tingkat efektivitas suatu sistem secara keseluruhan

2. Rekomendasi yang berhubungan dengan regulasi dan undang-undang yang berlaku

3. Rekomendasi atas kebijakan organisasi

4. Rekomendasi terhadap dampak operasi yang akan timbul

5. Rekomendasi atas tingkat keamanan dan kepercayaan



29/54

TATA KELOLA

TEKNOLOGI INFORMASI

2.10 PO10 Manage Projects

Framework pengelolaan proyek meliputi master plan, pembagian tugas, deliverables, persetujuan oleh

pengguna, pendekatan bertahap untuk penyerahan output, Quality Assurance (OA), rencana pengujian,

pelaksanaan pengujian dan evaluasi pasca implementasi setelah instalasi untuk memastikan pengelolaan

risiko proyek. Pendekatan ini mengurangi munculnya risiko biaya tak terduga, meningkatkan komunikasi

dan keterlibatan manajemen untuk memastikan nilai dan mutu output proyek sesuai dengan program

investasi IT.

2.10.1 Perencanaan proyek

Perencanaan suatu proyek meliputi 3 proses utama yang dituangkan dalam dokumen project charter.

Define Scope

Ruang lingkup dari proyek harus didefinisikan secara jelas termasuk batasannya dan dibutuhkan

komitmen dari semua stakeholder yang terlibat sehingga dapat meminimalisasi deviasi dari

perencanaan proyek. Pengidentifikasian kebutuhan bisnis yang akurat dan tetap berada dalam

scope dan jalur yang benar sejak awal adalah kunci kesuksesan pengerjaan proyek. Jika terjadi

deviasi dalam proyek yang signifikan, sebaiknya meialui proses change request yang melibatkan

steering committee untuk pengambilan keputusan.

• Determine objectives

Menentukan tujuan proyek dan hasil akhir yang diinginkan, dijelaskan value added yang

dihasilkan dari proyek terkait

• Scope Planning

Mendeskripsikan secara tertu Iis scope statement dari proyek terkait, dokumen ini akan menjadi

dasar untuk keputusan-keputusan yang akan datang; apa yang termasuk dalam proyek, dan apa

yang tidak termasuk

• Scope Definition

Pengelompokan hasil yang diinginkan dari scope proyek menjadi komponen komponen yang

lebih kecil agar lebih mudah pengaturannya.

Break Down Tasks:

Activity Definition (Breakdown tasks)

Identifikasi aktifitas yang secara spesifik dilakukan untuk menghasilkan deliverables yang

diinginkan.



30/54

TATA KELOLA

TEKNOLOGI INFORMASI

Activity Sequencing

Identifikasi dan dokumentasi interaksi aktivitas (antara satu aktivitas dan aktivitas berikutnya

atau sebelumnya).

Activity Duration Estimating

Estimasi jumlah periode kerja yang diperlukan untuk menyelesaikan satu aktivitas.

Schedule Development

Analisa urutan aktivitas, durasi, dan kebutuhan sumber daya atau resource requirement yang

diperlukan untuk menyelesaikan semua aktivitas proyek.

Allocate Resource

• Resource Planning

Menentukan sumber daya yang dibutuhkan, serta jumlahnya untuk menjalankan proyek.

• Cost Estimating

Identifikasi estimasi dari cost yang diperlukan untuk sumber daya (resources) agar bisa

menyelesaikan aktivitas proyek.

• Cost Budgeting

Pengalokasian keseluruhan dari estimasi cost ke masing-masing fungsi pekerjaan.

2.10.2 Mendefinisikan kerangka kerja projek (Project Charter).

1. Project Description

Memberi deskripsi singkat mengenai tujuan proyek. Pada bagian dibahas mengenai oportunitas,

deliverables dan jasa layanan IT yang dapat dihasilkan dari suatu proyek.

2. IT Objectives atau Success Criteria

Deskripsi secara kuantitatif hal-hal penting mengenai tujuan bisnis atau produk IT yang dapat

diukur termasuk peningkatan pendapatan, penghematan biaya, mempercepat suatu process dan

sebagainya.

3. Project Organisation

Menjelaskan secara hirarki Tim dari suatu proyek, termasuk juga Steering Committee dan

supporting member.

4. Stakeholders

Stakeholders adalah individual, group atau organisasi yang secara aktif terlibat dalam suatu

proyek, yang secara langsung terpengaruhi atau mempengaruhi hasil (outcome) dari suatu

proyek.



31/54

TATA KELOLA

TEKNOLOGI INFORMASI

5. Vision Statement

Secara ringkas menjelaskan tujuan dari suatu proyek dan melihat bagaimana proses IT setelah

proyek selesai. Penjelasan bisa bersifat idealistis, berdasarkan realita dari keadaan lingkungan,

termasuk arsitektur informasi, strategic initiatives, cost dan keterbatasan sumber daya.

6. Project Scope

Project scope mendefinisikan batasan-batasan dari proyek yang akan dilaksanakan, dapat

didefinisikan menggunakan context diagram atau Tabel. Hal ini sangat penting untuk

mendefinisikan apa yang tidak termasuk dalam proyek, seperti pembatasan dan pengecualian

sehingga stakeholders bisa mengantisipasi apa outcome dari suatu proyek.

7. Asumsi

Menjelaskan asumsi-asumsi yang mendukung jalannya proyek. Asumsi adalah faktor eksternal

yang mempunyai potensi untuk mempengaruhi kesuksesan sebuah proyek dan berada di luar

kontrol proyek manager.

Contoh:

Asumsi:

• Semua project staff mengikuti SOP yang diberikan.

• Semua sumber daya resources tersedia dari awal proyek hingga proyek selesai.

• Sumber daya manusia yang berpengalaman dengan teknologi X, jumlahnya

signifikan untuk mendukung proyek.

• Key user selalu bekerjasama dalam tahap analisa maupun desain.

8. Constraints

Identifikasi hambatan atau halangan proyek. Constraints adalah halangan atau hambatan yang

sudah ada dan terlihat pada waktu jalannya proyek.

Constraint lebih baik diidentifikasi beserta strategi untuk menjawab limitasi tersebut, Contoh:

Constraints Response

Kurangnya skill yang dibutuhkan Training

Jam kerja yang terbatas Durasi proyek yang lebih panjang

Bandwicth yang terbatas Pengiriman data dengan cluster kecil.

9. Milestones

Identifikasi milestone atau event penting dalam durasi berjalan proyek, target date, dan individu

atau tim yang bertanggung jawab atas event tersebut.



32/54

TATA KELOLA

TEKNOLOGI INFORMASI

Contoh Tabel:

Event Tanggal PIC

Project charter dietujui 1/1/12 HAR

Project Plan selesai 1/1/12 ARY

Project plan disetujui 1/1/12 ARY

Project team assembled 1/1/12 JHN

Tabel 16. Tabel milestone proyek

2.10.3 Penerbitan pedoman pengelolaan proyek

Menetapkan dokumen pengelolaan proyek yang isinya sepadan dengan ukuran, kompleksitas dan

peraturan masing-masing proyek yang meliputi:

Peran dan tanggung jawab

Organisasi dan Steering comitte

Lokasi/ Kantor proyek serta Project manager

Sponsor proyek

Tools yang digunakan dalam pengelolaan proyek

3. Acquire and Implement

Untuk mewujudkan strategi IT, rnaka solusi IT perlu diidentifikasi, dikembangkan atau diperoleh,

diimplementasikan danterintegrasi ke dalam proses bisnis. Selain itu, perubahan dan pemeliharaan

sistem yang ada harus sudah mencakup seluruh solusi IT, untuk memastikan bahwa solusi yang ada

akan terus memenuhi tujuan bisnis.



33/54

TATA KELOLA

TEKNOLOGI INFORMASI

Gambar 12. Diagram Practical AI

3.1 All Identify Automated Solutions

Gambar 13. Proses Identifikasi solusi

Proses mengidentifikasi solusi dimulai dengan fase requirement analysis yang dimulai dengan

permintaan suatu solusi dari user. Permintaan user tersebut diidentifikasi dan dilakukan analisa dengan

melakukan studi kelayakan. Hasil laporan tersebutlalu diverifikasi dengan user untuk memastikan semua

requirement sudah tercangkup didalamnya. Setelah user setuju dengan studi kelayakan tersebut

dilanjutkan dengan fase definisi solusi atau fase SDLC.

3.1.1 Mendefinisikan kebutuhan bisnis dan permintaannya

User Request Request Analysis

FS

Verified? Solution DefinitionNo Yes



34/54

TATA KELOLA

TEKNOLOGI INFORMASI

Identifikasi stakeholder dilakukan agar dapat dengan tepat mendefinisikan kebutuhan bisnis dan

permintaannya.

Secara garis besar dapat dibagi menjadi 3 kategori, yaitu:

- Primary stakeholders: terkena dampak langsung dari proyek

- Secondary stakeholders: tidak terkena dampak langsung dari proyek

- Keystakeholders: memiliki keterlibatan yang signifikan dari proyek (dapat termasuk juga dari

dua katagori di atas)

Setelah stakeholder diidentifikasi, analisa juga requirement sesuai dengan kebutuhan bisnis serta

prioritasnya. Form user requirement dibuat untuk bisa mendokumentasikan kebutuhan user yang diisi

oleh stakeholder atau IT.



35/54

TATA KELOLA

TEKNOLOGI INFORMASI



36/54

TATA KELOLA

TEKNOLOGI INFORMASI

Setelah kebutuhan bisnis dan permintaan terdefinisikan, tahap

selanjutnya adalah melakukan analisa. Untuk memudahkan analisa, kategorikan kebutuhan bisnis dan

permintaannya ke dalam 4 kategori berikut:

o Functional Requirement

Berisikan bagaimana sistem berfungsi dari sudut pandang end-user. Didefinisikan pula fitur dan

fungsi yang akan berinteraksi secara langsung dengan end-user.

o Operational Requirement

Mendefinisikan proses-prosesyang berjalan dibelakang sistem untuk menjaga aspek

fungsionalitasnya.

o Technical Requirement

Menentukan masalah teknis yang harus diperhatikan.

o Transitional Requirement

Menentukan langkah-langkah yang diperlukan agar proses transisi dan implementasi produk

berjalan dengan lancar.



37/54

TATA KELOLA

TEKNOLOGI INFORMASI



38/54

TATA KELOLA

TEKNOLOGI INFORMASI

Form requirement analysis digunakan untuk menuangkan seluruh hasil analisa kebutuhan

bisnis dan permintaannya.

Salah satu tujuan analisa adalah untuk mengetahui dampak proyek terhadap bisnis dari segala aspek

seperti sumber daya, efektivitas, efisiensi dan legal, dengan menggunakan RequirementAnalysis

Document dan dokumen-dokumen pendukung lainnya.

3.1.2 Melakukan Studi Kelayakan

Studi kelayakan adalah penelitian yang menyangkut berbagai aspek dimana hasil studi kelayakan

tersebut digunakan untuk mengambil keputusan apakah suatu proyek dapat dan layak dikerjakan,

ditunda, atau bahkan tidak dijalankan. Pada tahap ini dapat juga diberikan solusi alternatif yang

memungkinkan.

Studi kelayakan (Feasibility Study) bisa mengacu ke P05.

3.1.3 Menyetujui (atau menolak) persyaratan dan hasil studi kelayakan

Manajemen sebaiknya mengevaluasi solusi yang disepakati berdasarkan studi kelayakan dan analisa

risiko. Jika disetujui, proyek dapat dilanjutkan dan dokumen FS yang sudah disetujui didistribusikan ke

seluruh stakeholder.

3.2 AI2 Acquire and Maintain Application Software

Proses ini meliputi desaindari aplikasi yang tepat, termasuksistem kontrol dan persyaratan keamanan,

serta proses pengembangan dan konfigurasi sesuai dengan standar yang sudah ditentukan.

3.2.1 Menerjemahkan kebutuhan bisnis ke dalam spesifikasi desain

Kebutuhan bisnis yang telah ditetapkan lalu diterjemahkan kedalam dokumen spesifikasi desain

program. Dokumen ini bertujuan untuk memberikan atau menetapkan arahan yang jelas untuk hasil dari

proyek yang ingin dicapai sesuai dengan kebutuhan bisnis. Desain spesifikasi program memberikan detil

panduan mengenai bagaimana dan seperti apa hasil akhir proyek (deliverables), tampilan dan interaksi

antar modul, dan bagaimana sistem tersebut diharapkan bekerja. Pada fase ini didefinisikan proses

pengembangan sistem, struktur keseluruhan sistem, dan bentuk sistem.

Dokumen desain spesifikasi program berisikan (dan tidak terbatas kepada) hal-hal berikut:

• Tampilan sistem

• Modul-modul sistem dan fungsi masing-masing modul tersebut

• Interaksi antar modul

• Batasan-batasan modul

• Tempat dan metode penyimpanan data yang digunakan

• Lingkungan yang berinteraksi dengan sistem dan lingkungan tempat sistem itu berjalan

• Keamanan sistem



39/54

TATA KELOLA

TEKNOLOGI INFORMASI

Desain spesifikasi dibagi menjadi 2 (dua), yaitu:

o High level design

Menggambarkan desain secara keseluruhan, mencakup juga database,arsitektur, hubungan

antar modul, data flow, flowchart, dan struktur data.

o Low level design

Menggambarkan lebih detll dari high level design. Pada spesifikasi mi didefinisikan logika

yang digunakan dalam setiap komponen, class diagram, ERD didefinisikan pada low level

design.

Fase desain sangat penting dalam keseluruhan tahap pengembangan, karena perubahan pada ase desain

dapat menjadi sangafmahal" untuk diakomodir. Untuk mendukung desain esi kasi, seringkali digunakan

teknik pemodelan seperti Entity Reiationsh,,J»gnmu Hasil akhir desain ini perlu disetujui oleh

manajemen sebaga, persetujuan bahwa desain tersebut dapat mengakomodir kebutuhan bisnis yang telah

ditetapkan sebelumnya.

3.2.2 Mengikuti standar pengembangan untuk semua modifikasi

Setelah fase pembuatan desain spesifikasi selesai, fase selanjutnya adalah Pe"3embangan sistem. Pada

fase ini harus mengikuti aturan-aturan, tahapan, dan standards, yang disebut SDLC (software

deveiopment life cycle) dimana setiap tahapannya njerneriuten pembuatan dokumentasi, laporan, dan

persetujuan dari pihak-pihak terkait. Terdapat bengal macam metodologi SDLC, dan salah satu

contohnya adalah metode waterfall.

Gambar 16. SDLC (Lampiran 5)



40/54

TATA KELOLA

TEKNOLOGI INFORMASI

SDLC waterfall terdiri atas rangkaian tahapan dimana hasil (output) dari setiap tahapan adalah masukan

(input) bagi tahapan berikutnya. Berikut penjelasan masing-masing tahapannya:

Feasibility

Tahapan ini menentukan apakah suatu proyek dilaksanakan atau tidak. Untuk lebih detailnya

bisa mengacu ke All.

Analysis

Menganalisa kebutuhan user dari dokumen Requirement Diagram. Key user dengan business

analyst atau fungsi yang bertanggung jawab lainnya akan mendeskripsikan kebutuhan bisnis (to-

be) beserta flow process, yang kemudian didokumentasikan dalam requirements list.

Manajemen mereview dan memutuskan mengenai rencana proyek yang akan dilakukan

diinternal atau dengan pihak ketiga.

Design

Fase dimana daftar requirement dan How process diterjemahkan dalam system design yang

mencakup interaksi dalam sistem, seperti class diagram, data flow, ERD, serta di bahas

juga tampilan sistem atau user interface.

Development

Dilakukan pengembangan sistem (programming) berdasarkan desain yang telah ditentukan dan

teknologi yang telah disepakati. Pada waktu pengembangan sistem ini pula dibuat serangkaian

tes yang akan dilakukan untuk mengecek kehandalan sistem (unit test) yang dilaksanakan oleh

programmer itu sendiri.

Test

Setelah sistem selesai dikembangkan, dilakukan pengetesan baik oleh pihak internal (QA)

ataupun eksternal (UAT). Pengetesan eksternal juga berfungsi sebagai pengecekan apakah sistem

sudah mengakomodir requirement list atau belum.

Dilakukan juga pengetesan untuk memastikan hubungan antar modul-modul berjalan dengan baik

(integration test), dan sistem berjalan pada platform yang diinginkan sesuai dengan jumlah data

yang diharapkan.

Deploy

Sistem yang telah lolos pada fase pengetesan kemudian ditempatkan dimana sistem tersebut

akan digunakan. Untuk memperkenalkan system baru rnaka perlu dilakukan pelatihan dan

dibuat dokumentasi sistem yang lengkap.

Maintenance

Pada fase ini pemeliharaan dilakukan untuk mengakomodasi perubahan yang dapat terjadi

setelah fase implementasi. Fase maintenance ini mencakup pula proses upgrade, baik major

maupun minor.



41/54

TATA KELOLA

TEKNOLOGI INFORMASI

32.3. Memisahkan pengembangan, pengujian dan kegiatan operasiona.

Memisahkan fasilitas yang digunakan untuk pengembangan, pengujian, dan kegiatan produksi sangat

dianjurkan, hal ini untuk menekan risiko perubahan yang tidak disengaja atau akses yang tidak

dikehendaki pada perangkat lunak, dan data yang digunakan pada tahap produksi. Pemisahan fasilitas ini

juga bertujuan untuk menjaga performa lingkungan produksi agar tidak terganggu kegiatan

pengembangan dan pengujian.

Disamping dari sisi environment, perlu dibuat juga dari segi sumber daya sebgaai fungsi control dan QA

(Quality Assurance). QA atau testing tidak boleh dilakukan oleh developer system itu sendiri, namun

dilakukan oleh fungsi QA yang tidak ikut dalam fase development. Bila dimungkinkan QA dapat

dilakukan oleh pihak ketiga.

Tingkatan pemisahan antara lingkungan pengembangan, pengujian, dan kegiatan operasional perlu

diintefikasi dengan tepat, dan control yang tepat pula perlu diterapkan. Hal-hal yang perlu diperhatikan

adalah sebagai benkut.

Aturan untuk pemindahan dari tahap pengembangan menuju operasiona, sebaiknya idefinisikan

dan didokumentasikan.

Perangkat lunak pengembangan (development) dan operasional (production) berjalan pada ystem atau computer yang berbeda, dengan data yang berbeda pula.

Lingkungan pengujian dan operasional sebaiknya dibuat semirip mungkin untuk meminimalisir kegagalan fungsi system yang berjalan pada lingkungan pengujian namun gagal lingkungan

operasional.

Akses pada lingkungan operasional, baik compiler, editor, alat pengembangan lainnya, dan utilitas system hanya diperkenankan jika diperlukan.

Perubahan pada system hanya boleh diterapkan jika sudah dilakukan pengujian.

Data sensitif tidak boleh dipindahkan ke lingkungan pengembangan atau pengujian. Setiap tahapan dalam SDLC memiliki keterlibatan IT dan user yang berbeda-beda pula seperti berikut :



42/54

TATA KELOLA

TEKNOLOGI INFORMASI

3.3 AI3 Acquire and Maintain Technology Infrastructure

IT melakukan proses pengadaan, penerapan dan peningkatan infrastruktur teknologi. Untuk hal ini

memerlukan pendekatan terencana bagi pengadaan, pemeliharaan dan proteksi atas infrastruktur sesuai

dengan strategi teknologi yang telah disepakati untuk memastikan bahwa ada dukungan teknologi yang

berkelanjutan.

3.3.1 Membuat rencana akuisisi teknologi yang sejalan dengan rencana teknologi

infrastruktur.

Rencana akuisisi teknologi sebaiknya mengikuti dari perencanaan teknologi IT suatu perusahaan. Tabel

.dibawah menjelaskan perbedaan antara rencana akuisisi dan rencana teknologi.



43/54

TATA KELOLA

TEKNOLOGI INFORMASI

Rencana ini perlu mempertimbangkan fleksibilitas untuk penambahan kapasitas biaya transisi,

risiko teknis dan lifetime dari investasi teknologi yang dipakai untuk keperluan upgrade

teknologi kedepannya.

Ada beberapa hal yang dilakukan dalam membuat rencana akuisisi teknologi :

1. Tentukan perangkat keras yang akan dibeli dalam menerapkan topologi jaringan yang

ada dalam organisasi perusahan.

2. Tentukan budget IT dan schedule pembelian untuk penerapan teknologi infrastruktur

yang sudah dibuat dalam topologi jaringan pada perusahaan

3. Perlu adanya SOP untuk pembelian device dan server dalam menerapkan teknolog.

tersebut, SOP ini tergantung dari kebijakan perusahaan. Flow process mengacu ke

AI5

4. Pemilihan vendor yang tepat. (mengacu ke DS2)

3.3.2 Perencanaan pemeliharaan infrastruktur

Pemeliharaan infrastruktur IT melibatkan perencanaan, perancangan, dan implementasi.

Pemeliharaan IT infrastruktur juga mencakup informasi konfigurasi sistem dan kebijakan

keamanan informasi. Informasi ini termasuk hie kata sandi, aturan akses jaringan, file akses

keamanan, pengaturan konfigurasi perangkat

keras dan perangkat lunak, dan dokumentasi yang dapat mempengaruhi akses ke data sistem

informasi

Untuk mendukung perencanaan pemeliharaan infrastruktur, ada tahap-tahap yang perlu

dilakukan:

1. Membuat dan memperbaharui dokumentasi atas asset IT, yaitu perangkat keras dan

lunak yang digunakan oleh perusahaan.

2. Membuat dan memperbaharui informasi mengenai dokumentasi dari daftardaftar

infrastruktur IT, seperti password, username dan nama server.

3. Membuat, memperbaharui dan memonitor jadwal maintenance perangkat keras dan

lunak.

4. Membuat dan memperbaharui dokumentasi konfigurasi dan setting perangkat IT.

5. Membuat dan memperbaharui dokumentasi perangkat kadaluarsa, sehingga dibuatkan

antisipasi jika terjadi kerusakan pada perangkat tersebut.

3.3.3 Pelaksanaan pengendalian internal keamanan dan kepatuhan terhadap audit

Untuk mendukung pengendalian internal keamanan dan kepatuhan terhadap audit ada beberapa

hal yang perlu dilakukan.

1. Review atas jadwal-jadwal maintenance dan backup server

2. Adanya Kebijakan IT yaitu kebijakan penggunaan data file pada perangkat IT.



44/54

TATA KELOLA

TEKNOLOGI INFORMASI

3. Adanya audit mengenai aktivitas perbaikan pengelolaan

standar mutu mengacu ke PQ8.

3.4 AI4 Enable Operation and Use

Tersedianya pengetahuan tentang sistem baru yang meliputi dokumentasi dan petunjuk penggunaan bagi

pengguna dan personil IT, serta menyediakan pelatihan untuk memastikan penggunaan aplikasi dan

infrastruktur yang tepat.

3.4.1 Mengembangkan dan membuat dokumentasi transfer pengetahuan

Agar suatu sistem dapat dipergunakan dengan baik, diperlukan dokumentasi dan petunjuk penggunaan

(user manual). Pelatihan penggunaan aplikasi dan infrastruktur yang tepat juga memegang peranan

besar dalam pemanfaatan system agar dapat digunakan secara tepat, efektif, efisien, dan memberikan

kepuasan kepada user. Transfer pengetahuan juga perlu dilakukan sesama ITsebagai rencana Sp

kontingensi agar seluruh personil mengetahui isi dan cara kerja sistem sehingga jika diperlukan

maintenance atau troubleshoot tidak bergantung pada pembuat sistem saja.

Dalam perencanaan pelatihan, perlu diperhatikan hal-hal berikut

• Form daftar hadir

Form daftar hadir berisikan judul training, tempat dan tanggal pelaksanaan yang ditandatangan

oleh seluruh peserta. Bentuk form bisa mengacu kepada form milik HRD.

• Syllabus training

Syllabus training berisi daftar modul, materi, dan jadwal training sehingga baik pihak trainer

maupun trainee dapat mengetahui secara jelas informasi mengenai training. Bentuk syllabus

training dapat mengacu pada HR jika sudah ada, namun jika tidak ada dapat mengacu pada

contoh berikut:

3.4.2 Mengkomunikasikan dan melatih pengguna, manajemen, staf pendukung dan staf

operasional

Pelatihan akan lebih efektif jika pada saat pelaksanaan dipisahkan berdasarkan masing-masing

fungsi, dan jika diperlukan dapat dibagi pula berdasarkan kemampuan pengguna. Pelatihan dapat

dibagi menjadi:



45/54

TATA KELOLA

TEKNOLOGI INFORMASI

• Training kepada manajemen

Training ini bertujuan untuk memperkenalkan manajemen terhadap cara penggunaan aplikasi,

termasuk di dalamnya untuk membaca system pelaporan.

• Training kepada user

Training kepada user difokuskan pada melatih user menggunakan system secara benar dan

efisien agar menghasilkan data yang valid.

• Training kepada support/ helpdesk

Fokus pada aspek teknikal, bagaimana menyelesaikan masalah yang berhubungan dengan

sistem, dan masalah yang dapat muncul pada system itu sendiri. Pada umumnya training ini

sudah dilakukan sejak tahap QA pada proses development.

Setelah training selesai diberikan, perlu dilakukan evaluasi untuk mengetahui tingkat kepahaman user

dan sebagai tanda bahwa training telah dilakukan. Pada evaluasi ini, mintalah juga masukan-masukan

dari user menggunakan form evaluasi (bentuk form dapat mengacu pada form evaluasi milik HRD).

3.4.3 Memproduksi user manual

Setelah selesai dilakukan pelatihan, langkah terakhir dalam memperkenalkan sistem baru adalah dengan

menyebarkan user manual kepada pihak-pihak yang membutuhkan sehingga jika ada hal yang

terlewatkan atau terlupakan oleh pengguna pada waktu pelatihan, dapat dengan mudah membaca user

manual untuk menemukan solusinya. Seluruh dokumentasi sebaiknya ditata dengan rapi, terstruktur dan

ditempatkan dimana orang yang membutuhkan dapat mencari dan menggunakannya.

3.5 AI5 Procure IT Resources

Sumberdaya IT, termasuk jajarannya, seperti perangkat keras, perangkat lunak dan layanan perlu

disiapkan. Hal ini memerlukan prosedur pengadaan, pemiiihan vendor, penetapan kontrak dan proses

akuisisi itu sendiri. Dengan melakukan hal tersebut, perusahaan dapat memenuhi kebutuhan sumber daya

IT yang diperlukan secara efektif dan tepat waktu serta biaya yang efisien.

3.5.1 Menentukan prosedur dan standar pengadaan

Prosedur pengadaan barang dan jasa IT disesuaikan dengan kebijakan masing-masing perusahaan,

berikut contoh prosedur pengadaan barang dan jasa IT



46/54

TATA KELOLA

TEKNOLOGI INFORMASI

Gambar 17. Contoh proses pengadaan barang

1. Pemohon mengisi form permintaan barang dan jasa IT

2. IT melakukan verifikasi terhadap permintaan pemohon dan dicek juga dari sisi budget IT.

3. IT menentukan spesifikasi barang permintaan IT dan mengirimkan ke bagian purchasing.

4. Bagian purchasing melakukan pembelian sesuai dengan SOP yang berlaku (SOP

pengadaan barang jasa masing-masing perusahaan).

5. Pada saat penerimaan barang, pihak IT perlu memverifikasi apakah barang yang dipesan

sudah sesuai.

6. IT mencatat data barang tersebut sebagai asset IT, lalu menyerahkan kepada pemohon.

3.5.2 Proses pengadaan perangkat keras, lunak dan jasa sesuai dengan prosedur

yang ditetapkan

- Prosedur pengadaan sumber daya manusia mengacu ke Panduan Praktis People Management

baik untuk staff internal ataupun outsourcing. Pihak IT sebaiknya bekerjasama dengan pihak

HRD untuk pengadaan sumber daya manusia.

- Menyusun kebijakan atau prosedur kontrak yang jelas dengan pihak ketiga (mengacu ke DS2)

dalam menyediakan pengadaan perangkat IT, baik mengenai jangka waktu kontrak, hak dan

kewajiban, serta investasi yang perlu dikeluarkan untuk kontrak pengadaan perangkat IT.

3.5.3 Konsultasi hukum dan kontrak dengan para professional

User request asset

RequestForm

Analyze UserRequirement

RequestForm

Verified

No

Purchasing

RequestForm

AssetSpec

Receive Asset from Vendor

Verified item?

Document and submission

UsersSign off

Yes



47/54

TATA KELOLA

TEKNOLOGI INFORMASI

Isi dari setiap kontrak dengan pihak ketiga sebaiknya dilegalisir oleh pihak legal masingmasing

perusahaan. Point-point yang perlu diperhatikan oleh pihak IT pada saat draft

kontrak:

1. Jangka waktu kontrak.

2. SLA & eskalasi masalah.

3. Warranty.

4. Memiliki office representative di Indonesia.

5. Penalty terhadap ketidakmampuan kedua belah pihak.

3.6 AI6 Manage Changes

Setiap perubahan pada sistem aplikasi maupun infrastruktur di lingkungan produksi,

sebaiknya dikelola, diuji dan dimonitor mengacu kembali ke SDLC yang dibahas di AI2.

3.6.1 Menentukan dan mengkomunikasikan prosedur perubahan, termasuk

perubahan darurat

Setiap sistem memerlukan perubahan untuk menjaga/ meningkatkan performa, baik

dari segi aplikasi maupun infrastruktur. Setiap permintaan perubahan pada sistem dan

perubahannya perlu terdokumentasi dengan jelas.

Berdasarkan tingkat urgensi, perubahan dapat dibagi menjadi 2 kategori yaitu:

1. Ad Hoc Change

Adalah perubahan yang terencana. Ad hoc change bisa disebabkan karena ada

kebutuhan yang baru muncul setelah fase implementasi (post implementation review).

2. Emergency Change

Perubahan ini dibutuhkan secara tiba-tiba tanpa direncakan, dan perlu dilakukan

perubahan secepatnya. Yang dapat termasuk pada kategori ini adalah:

- Perubahan untuk mengkoreksi sistem/ alur bisnis

- Perubahan untuk melindungi perusahaan (contoh: perubahan regulasi pemerintah)



48/54

TATA KELOLA

TEKNOLOGI INFORMASI

Gambar 18. Prosedur Manajemen Perubahan

Change Request

Analyze Request

Approval?

Done

No

Emergency?Yes

SDLC

No

ImpactAnalysis

Yes Develop Change

Testing

Success?

ImplementChanges

Change Report, Update Versioning

Done

Yes

No



49/54

TATA KELOLA

TEKNOLOGI INFORMASI

Form permintaan perubahan digunakan untuk meminta perubahan akan aplikasi/

infrastruktur. Pada form ini dijelaskan identifikasi masalah dan perubahan yang perlu

dilakukan. Permintaan perubahan ini akan dianalisa oleh manajemen dan diputuskan

apakah perlu dilaksanakan atau tidak, dan kategori prioritas perubahan.

Jika perubahan ini adalah perubahan ad-hoc, rnaka lakukan fase SDLC yang mengacu

kepada AI2, namun Jika perubahan ini termasuk dalam kategori emergency, sesuaikan

dengan prosedur diatas.

Setelah implementasi, lakukan proses evaluasi untuk melihat apakah perubahan yang

dilakukan sudah sesuai dengan hasil yang diharapkan atau belum. Setelah perubahan selesai

dikembangkan, koordinasikan dengan pihak terkait mengenai jadwal implementasi.



50/54

TATA KELOLA

TEKNOLOGI INFORMASI



51/54

TATA KELOLA

TEKNOLOGI INFORMASI



52/54

TATA KELOLA

TEKNOLOGI INFORMASI

\

3.6.2 Mengevaluasi, membuat prioritas dan mensahkan perubahan

Emergency change selalu mendapatkan prioritas utama, sesuai dengan prosedur

emergency di atas. Pada kategori Ad Hoc Change, perlu diatur pula masing-masing

prioritasnya agar dapat dilihat perubahan mana yang perlu dilakukan terlebih

dahulu. (dapat mengacu ke POl)

3.6.3 Memantau status dan pelaporan atas setiap perubahan

IT memastikan perubahan yang dilakukan tidak memberi kendala pada sistem,

sedangkan user memastikan perubahan sesuai dengan permintaan. Pemantauan

atas perubahan dilakukan dengan melihat perubahan yang berlangsung dan juga

perubahan-perubahan yang pernah dilakukan sebelumnya. Setiap ada perubahan

perlu dicatat secara mendetil dalam bentuk log report mengenai perubahan apa

yang dilakukan, bagian sistem yang diubah, alasan dan tujuan dilakukan perubahan,

waktu, kendala dan PIC perubahan tersebut.

Perlu dilakukan review secara berkala terhadap SOP, yang pada umumnya dilakukan

oleh Management Development atau Quality Management. Review ini berguna

untuk melihat apakah perlu diadakan perubahan pada SOP (dan/ atau sistem) untuk

meningkatkan efektivitas dan kinerja sistem dalam mendukung bisnis.

3.7 AI7 Install and Accredit Solutions and Changes

Sistem baru digunakan setelah pengembangan selesai dengan meialui tahapan pengujian

yang tepat, sampai dengan migrasi sistem ke tahap operasional (go live) dan evaluasi

pasca implementasi. Hal ini menjamin bahwa sistem operasional sesuai dengan harapan

yang disepakati dan begitu juga dengan hasilnya.

3.7.1 Menetapkan metodologi tes

Dua tipe utama testing adalah white box dan black box testing.

White box testing adalah tipe tes yang mengacu kepada struktur program tersebut,

bukan kepada fungsinya saja biasanya digunakan pada proyek implementasi sistem

baru.

Namun Black box testing juga bisa digunakan jika adanya keterbatasan waktu,

karena black box testing adalah testing yang hanya mengacu kepada fungsi dari

aplikasi tersebut tanpa melihat struktur program terutama pada aplikasi yang sudah

berjalan.

Tes dilaksanakan setelah program selesai dikembangkan dan sebelum program

diimplementasikan atau LIVE. Beberapa tes yang dijalankan adalah sebagai

berikut:



53/54

TATA KELOLA

TEKNOLOGI INFORMASI

• Tes terhadap fungsi sistem dan perangkatnya baik secara parsial maupun

terintegrasi.

• Tes terhadap keamanan sistem, termasuk hak akses masing-masing pengguna,

data ownership, testing firewall dan sebagainya.

• Tes terhadap data, seperti fasilitas backup, rollback dan sebagainya.

• Migration test, dimana prosespemindahan dari development keserverlingkungan

produksi dilakukan pengujian.

Jika ada perubahan pada sistem atau perubahan kebutuhan yang terjadi selama

testing atau setelah testing, mengacu kembali ke AI6. Didalamnya dijelaskan

prosedur perubahan sistem termasuk perubahan darurat. Adapun standar yang

dapat dikembangkan dimasing-masing perusahaan untuk pengujian, contohnya

adalah sebagai berikut:

Programmer / internal testing

• Secara program tidak ada error.

• Data dengan database terintegrasi.

• Konsistensi tampilan atau interface.

System Analyse / System testing / Integrity testing

• Secara business process tidak ada error (flow proses mengikuti RD)

• Data dengan database terintegrasi

• Testing integritas antar proses atau antar module

QA / Quality Assurance

• Melaksanakan testing aplikasi atau sistem secara keseluruhan

• Menguji konsistensi, kejelasan, dan efektifitas tampilan, seperti shortcut, tab, tooltip dan

sebagainya.

• Testing integritas data dengan database.



54/54

TATA KELOLA

TEKNOLOGI INFORMASI

tata ke- lola teknologi informasihome.dianciptaperkasa.co.id/wcome/mg/itg.pdfdalam perusahaan, ......

Documents