RANGKUMAN UAS

II2220 - Manajemen Sumber Daya STI

Senin, 9 Mei 2022

Outline Materi UTS Manajemen Sumber Daya STI:

● Review: IST and Business
● Building/Developing IST
● Operating IST
● Monitoring and Evaluating IST
● Risk Management
● Materi Tambahan Tubes

Pelaksanaan Ujian Manajemen Sumber Daya STI:

Hari / Tanggal : Kamis, 19 Mei 2022
Waktu : 12.30 - 14.30 WIB
Durasi : TBA
Sifat Ujian : Individual, Close-Book
 Daftar Isi

Daftar Isi 2

Modul 1: Review 4
1.1 Hubungan IST & Business 4
1.2 COBIT IT Process → APO 8

Modul 2: Building/Developing IST 11

2.1 Overview 11
2.2 IT Process BAI(Build, Acquire, Implement) 12
2.2.1 Outline IT Process BAI 12
2.2.2 Managed Programs and Project 12
2.2.3 Managed Requirement Definition 13
2.2.4 Managed Solution Definition & Build 13
2.2.5 Managed Availability & Capacity 14
2.2.6 Managed Changes 15
2.2.7 Managed Knowledge 17
2.2.8 Managed Assets 18
2.2.9 Managed Configuration 18
2.3 Summary 19

Modul 3: Operating IST 20

3.1 Overview 20
3.2 IT Process DSS(Delivery, Service, and Support) 21
3.2.1 Outline IT Process DSS 21
3.2.2 Managed Operations 21
3.2.3 Managed Service Requests and Incidents 22
3.2.4 Managed Problems 22
3.2.5 Managed Continuity 23
3.2.6 Managed Security Services 24
3.2.7 Managed Business Process Controls 25
3.3 Summary 26

Modul 4: Monitoring IST 27

4.1 Overview 27
4.2 IT Process MEA (Monitor, Evaluate, Assess) 27
4.2.1 Outline IT Process MEA 27
4.2.2 Managed PERFORMANCE and CONFORMANCE Monitoring 28
4.2.3 Managed System of Internal Control 28
4.2.4 Managed Compliance with External Requirements 29
4.2.5 Managed Assurance 29
 4.3 Summary 30

Modul 5: Risk Management IST 31

5.1 Overview 31
5.2 Contain 32
5.2.1 Risk 32
5.2.2 Sources 32
5.2.3 Enterprise Risk Management 32
5.2.4 IT Risk 33
5.3 Summary 35

Modul 6: Materi Tambahan Tubes 36

6.1 Overview 36
6.2 Analisis Kondisi Perusahaan 36
6.2.1 Porter’s Five Forces Analysis → External 36
6.2.1 Value Chain Analysis → Internal 37
6.3 Perancangan Arsitektur Teknologi Informasi 41
6.4 Penentuan Rencana Strategis Bisnis 41
Modul 1: Review

1.1 Hubungan IST & Business

Business dan IST merupakan dua aspek yang selaras dan berkesinambungan. Jangan sampai
IST tidak mendukung kegiatan-kegiatan pada bisnis.

Objectives yang telah ditetapkan akan mengarahkan ke business requirements dan IT

resources. Menurut COBIT 2019, IT resources tidak hanya membahas terkait aspek IT saja,
melainkan juga banyak aspek yang dibahas, seperti people. Kemudian, IT process dijalankan
untuk menghasilkan enterprise information. Detail lebih lanjut sebagai berikut:
a. Business requirements
Framework yang bisa digunakan yaitu balanced score card. Balanced scorecard
merupakan framework untuk mengukur kinerja perusahaan secara keseluruhan baik dari
aspek keuangan maupun nonkeuangan. Terdapat 4 perspektif yaitu:
- Financial soundness
Perspektif yang berorientasi pada shareholder (pemegang saham). Perspektif ini
digunakan untuk menggambarkan apakah perencanaan dan pelaksanaan
strategi memberikan kontribusi terhadap perbaikan kondisi keuangan
perusahaan.

- Customer perspective
Menggambarkan bagaimana pandangan pelanggan terhadap perusahaan. Ada
dua pengukuran, yaitu :
1. Customer Core Measurement
 Customer core measurement memiliki beberapa komponen pengukuran,
yaitu:
● Market Share; Pengukuran ini mencerminkan bagian yang dikuasai
perusahaan atas keseluruhan pasar yang ada, yang meliputi
antara lain: jumlah pelanggan, jumlah penjualan, dan volume unit
penjualan.
● Customer Retention; Mengukur tingkat di mana perusahaan dapat
mempertahankan hubungan dengan konsumen.
● Customer Acquisition; mengukur tingkat di mana suatu unit bisnis
mampu menarik pelanggan baru atau memenangkan bisnis baru.
● Customer Satisfaction; Menaksir tingkat kepuasan pelanggan
terkait dengan kriteria kinerja spesifik dalam value proposition.
● Customer Profitability; Mengukur laba bersih dari seorang
pelanggan atau segmen setelah dikurangi biaya yang khusus
diperlukan untuk mendukung pelanggan tersebut.

2. Customer Value Preposition

Customer value proposition merupakan pemicu kinerja yang didasarkan
pada atribut sebagai berikut:
● Product/service attributes
Meliputi fungsi dari produk atau jasa, harga, dan kualitas.
Perusahaan harus mengidentifikasikan apa yang diinginkan
pelanggan atas produk yang ditawarkan. Selanjutnya pengukuran
kinerja ditetapkan berdasarkan hal tersebut.
● Customer relationship
Menyangkut perasaan pelanggan terhadap proses pembelian
produk yang ditawarkan perusahaan.
● Image and reputation
Menggambarkan faktor-faktor intangible yang menarik seorang
konsumen untuk berhubungan dengan perusahaan.
Berikut gambaran lebih detailnya:

- Operational Excellence
Inti perspektif ini yaitu keunggulan apa yang dimiliki perusahaan. Selain itu,
mengukur seberapa baik bisnis yang dijalankan dan apakah produk yang
ditawarkan sesuai dengan keinginan pelanggan. Ada 3 tolak ukur:
1. Proses Inovasi
 Menggali pemahaman tentang kebutuhan laten dari pelanggan dan
menciptakan produk dan jasa yang mereka butuhkan.
2. Proses Operasi
Proses untuk membuat dan menyampaikan produk/jas
3. Proses Pelayanan Purna Jual
Jasa pelayanan pada pelanggan setelah penjualan produk/jasa tersebut
dilakukan, misalnya penanganan garansi dan perbaikan.

- Growth capability
Bersumber dari faktor sumber daya manusia, sistem, dan prosedur organisasi.
Terbagai menjadi 3 tolak ukur:
1. Employee capabilities
Bagaimana para pegawai menyumbangkan segenap kemampuannya
untuk organisasi.
2. Information systems capabilities
Dengan kemampuan sistem informasi yang memadai, kebutuhan seluruh
tingkatan manajemen dan pegawai atas informasi yang akurat dan tepat
waktu dapat dipenuhi dengan sebaik-baiknya.
3. Motivation, empowerment, and alignment
Pemberian motivasi dan pemberdayaan pegawai berupa delegasi
wewenang yang memadai untuk mengambil keputusan. Perspektif ini
penting untuk menjamin adanya proses yang berkesinambungan
terhadap upaya pemberian motivasi dan inisiatif yang sebesar-besarnya
bagi pegawai.

Berdasarkan empat perspektif di atas, kita akan mempertimbangkan bagaimana

pemanfataan IT resouces terhadap requirements yang dibutuhkan.

b. IT resources
 Pemanfaatan sumber daya IT untuk mendukung requirements yang ditetapkan.
Berdasarkan COBIT 2019, terdapat 4 aspek, yaitu:
- Information: Data yang ada di sistem informasi dan digunakan oleh bisnis
- Infrastructure: Sistem otomatis atau prosedur manual untuk memproses
informasi
- Application: Teknologi dan fasilitas (hardware, OS, DBMS, network dan
sebagainya) yang memungkinkan berjalannya aplikasi
- People: Personel di perusahaan yang terlibat dalam pengembangan,
perancangan, atau penggunaan aplikasi

c. IT process
Proses IT dalam memanfaatkan sumber daya IT untuk mencapai kebutuhan dan
menghasilkan layanan informasi. Berdasarkan COBIT 2019, ada 3 hal yang diukur:
- Objectives
- Responsibilities
- Measures

d. Enterprise information
Ada 3 yaitu:
- Resilience
- Functional
- Maintainable
1.2 COBIT IT Process → APO

Secara umum, terdapat dua pekerjaan besar yaitu governance (evaluate) dan management
(Plan, Build, Delivery, Monitor). Berikut ini merupakan proses plan:

PS: Di COBIT 5, hanya untuk R dan A saja, sisanya sesuai domain perusahaan.
APO (Align Plan Organize) → Bagaimana menyelaraskan perencanaan (translasi arahan governance)
agar dapat dikelola dengan baik. Berikut ini objectives yang ada di APO:
1. APO01 - Managed I&T Management Framework
mengorganisasi dan mengelola struktur perusahaan sehingga searah atau align dengan
visi dan misi IT perusahaan. Pengelolaan melalui APO01 juga ditujukan untuk mencapai
efisiensi fungsi IT serta kepatuhan terhadap kebijakan (policy compliance).

2. APO02- Manage Strategy

Konsep APO-02 menyuratkan bahwa strategi IT perlu memenuhi aspek kesinambungan
dengan tujuan utama enterprise (governance objectives) dan kondisi aktual IT
perusahaan. Strategi IT juga harus menjawab tantangan/gap yang ada antara IT
performance dengan target yang perlu dipenuhi. Dengan analisis APO-02, perusahaan
memiliki arah IT yang tepat sasaran, rasional, dan menhasilkan peningkatan relatif
terhadap kondisi inisial perusahaan (IT support, drive, transform the business).

3. APO03 - Manage Enterprise Architecture

Mengelola arsitektur enterprise IT (bisnis, aplikasi, informasi, dan teknologi).

4. APO04 - Managed Innovation

Mempertahankan kesadaran teknologi informasi dan tren layanan terkait, identifikasi
peluang inovasi, dan merencanakan bagaimana memanfaatkan inovasi dalam kaitannya
dengan kebutuhan bisnis. Menganalisis peluang apa untuk inovasi atau peningkatan
bisnis yang dapat diciptakan oleh teknologi, layanan yang muncul atau inovasi bisnis
berbasis Informasi Teknologi, serta melalui teknologi mapan yang ada dan dengan
inovasi proses bisnis dan Informasi Teknologi.

5. APO05 - Managed Portfolio

Pengelolaan investasi berbagai program yang terkait dengan perkembangan IT. Kita
tahu bahwa project itu sangat banyak, tentu itu semua butuh resource (investasi).
Pilihan investasi ini yang dinamakan portofolio selection. Dimana dari semua pilihan yg
ada, organisasi/perusahaan harus mampu menyeleksi mana-mana saja yang
diprioritaskan.

6. APO06 - Managed Budget & Costs

Mengelola aktivitas keuangan terkait TI baik dalam fungsi bisnis dan TI, yang mencakup
manajemen anggaran, biaya dan manfaat, dan prioritas pengeluaran melalui
penggunaan praktik penganggaran formal dan sistem alokasi biaya yang adil dan
merata untuk perusahaan. Berkonsultasi dengan pemangku kepentingan untuk
mengidentifikasi dan mengendalikan total biaya dan manfaat dalam konteks rencana
strategis dan taktis TI. Tindakan korektif dilakukan jika diperlukan.

7. APO07 - Managed Human Resource

Menyediakan pendekatan terstruktur untuk memastikan rekrutmen/akuisisi,
perencanaan, evaluasi, dan pengembangan sumber daya manusia yang optimal dan
realistis (baik internal maupun eksternal).
8. APO08 - Managed Relationship
Mengelola hubungan antara bidang IT dengan stakeholder dengan cara yang formal dan
transparan untuk memastikan kedua pihak fokus mencapai tujuan yang sama sehingga
keberadaan IT dapat memberikan value ke bisnis.

9. APO09 - Managed Service Agreements

Menyesuaikan produk dan layanan serta tingkat layanan yang didukung Teknologi
Informasi dengan kebutuhan dan harapan perusahaan.

10. APO10 - Managed Vendors

Mengelola barang dan jasa seputar IT yang disediakan oleh semua macam vendor
untuk memenuhi persyaratan perusahaan. Hal ini mencakup pencarian dan pemilihan
vendor, pengelolaan hubungan, manajemen kontrak,meninjau dan memantau kinerja
vendor beserta ekosistem vendor untuk menilai efektivitas dan
kesesuaian.

11. APO11 - Managed Quality

Merupakan framework yang bagus dalam membantu mengelola enterprise untuk
mencapai standar kualitas perusahaan dalam pekerjaan dan produk yang dihasilkan,
dengan menggunakan teknologi informasi, sehingga dapat memperoleh profit maksimal
dan menjadi unggul

12. APO12 - Managed Risk

Mengindentifikasi resiko yang muncul hingga bagaimana cara menanggapi kemunculan
resiko tersebut. Dengan adanya APO12, kualitas pengambilan keputusan akan lebih
baik serta kegagalan produk dapat dihindari.

13. APO13 - Managed Security

Mendefenisikan, mengoperasikan, dan memantau sistem manajemen keamanan
informasi (ISMS). Tujuan dari proses ini adalah untuk menjaga agar dampak dan
kejadian insiden keamanan informasi tetap berada pada level yang masih diterima

14. APO14 - Managed Data

Proses mencapai dan mempertahankan pengelolaan aset data perusahaan secara
efektif melalui seluruh data life cycle, dimulai dari pembuatan, pengiriman,pemeliharaan,
hingga pengarsipan data.
Modul 2: Building/Developing IST

2.1 Overview

Pada proses perencanaan, hal pertama yang dilakukan yaitu membuat visi dan misi
perusahaan untuk mencapai suatu tujuan/goals. Dalam mewujudkannya, diperlukan suatu
pekerjaan spesifik dan terukur (bisa pakai SMART) yang disebut dengan objectives. Dari
objectives ini akan diturunkan menjadi strategy yang mana setiap strategy harus terukur
berdasarkan 4 perspektif dalam balanced score card, yaitu finansial, customer, operasional, dan
growth. Berdasarkan hasil perencanaan, akan direalisasikan dalam kegiatan build.
2.2 IT Process BAI(Build, Acquire, Implement)

2.2.1 Outline IT Process BAI

2.2.2 Managed Programs and Project

● BAI 01 - Program
Kumpulan dari berbagai project yang akan dikelola yang mana tujuannya memastikan
ketercapaian outcomes balanced score card → Bersifat generik. Dalam mengukur
keberhasilan program, tidak hanya mengukur dari ketercapaian projek, tetapi juga value yang
dihasilkan dari setiap projek, misalnya culture suatu organisasi.

Key activities : Pelihara standar (standar yang sama) → Inisiasi program → Engagement
stakeholder → Mengembangkan dan memelihara program → Eksekusi program →
Monitor,control, & report program → Mengelola kualitas program → Mengelola risiko program
→ Tutup program

● BAI 11 - Project
Kegiatan spesifik dan tunggal yang sifatnya sementara. Output yang dihasilkan
tengible atau jelas → Waktu dan biaya terbatas.
 Key activities: Pelihara standar (standar yang sama) → Inisiasi project → Engagement
stakeholder → Mengembangkan dan memelihara project→ Kelola kualitas → Kelola risiko →
Monitor & kontrol project → Kelola resource → Tutup

2.2.3 Managed Requirement Definition

Setelah merumuskan projek dan program yang tepat untuk merealisasikan strategi, langkah
selanjutnya yaitu menentukan requirement apa saja yang dibutuhkan yang kemudian akan
dikelola supaya tetap konsisten agar sesuai dengan kebutuhan projek dan program.

Key Activites : Definisikan requirement (bisnis dan teknikal) → Studi kelayakan & alternatif solusi →
Kelola risiko requirement → Persetujuan requirement & solusi dari stakeholder
PS: Requirement STI HARUS ALIGN dengan requirement enterprise → supaya optimal

2.2.4 Managed Solution Definition & Build

Alternatif solusi yang telah dirumuskan, kemudian merumuskan dan build solusi yang tepat. Ada
2 pendekatan, yaitu BUY(pakai vendor) atau MAKE/BUILDING(Bangun dari awal).
Fokus : Menekankan produk dan layanan yang diidentifikasi yang selaras dengan requirement-nya
(design, developed, procurement) → Proposed solution

Key activities:

2.2.5 Managed Availability & Capacity

Ketika kita membangun dan mengelola solusi, kita juga harus mengelola availibility dan capacity →
solusi yang dirancang bisa bertahan seberapa lama dan bagaimana kapasitasnya?
Key activities:

2.2.6 Managed Changes

Setelah memutuskan progam dan projek, mentranslasikan kebutuhan, mendefinisikan solusi
dan memastikan availability dan capacity, proses yang tidak kalah penting yaitu mengelola
perubahan. Organisasi yang tidak menyukai perubahaan akan sulit berkembang (perubahaan
jangan dihindari).

Hakikat dari pengelolaan perubahaan bukan hanya untuk membuat suatu sistem menjadi lebih
bagus. Namun, target utama yaitu pada people. Orientasi pengelolaan perubahaan yaitu
mendukung orang-orang yang terlibat pada penggunaan sumber daya STI.
● Organizational
Ada perubahaan dari organisasi itu sendiri, misalnya perkuliahan kampus ITB yang
awalnya offline menjadi online.

Key activities:

● IT
Perubahaan pada organisasi yang menerapkan IT akan menimbulkan perubahaan pada
IT. Selain itu, perubahaan dari IT dapat ditimbulkan dari perubahaan standar atau
perubahaan spesifik lainnya.
 Key activites:

● Acceptance & Transitioning IT

Ketika kita melakukan perubahaan, kita juga harus mengelola bagaimana penerimaan
dari orang-orang yang terlibat dan transisi perubahaan tersebut.

Key activities:

2.2.7 Managed Knowledge

Knowledge berkaitan dengan data dan informasi yang digunakan untuk pengambilan keputusan
dan operasional.
2.2.8 Managed Assets
Aset bersifat lebih menyeluruh (apapun yang berhubungan dengan sumber daya STI) misalnya
infrastruktur, aplikasi, dll.

2.2.9 Managed Configuration

Ketika kita berbicara terkait aset, perubahaan dan lain-lain, pastinya kita akan berbicara juga
terkait konfigurasi. Konfigurasi menjelaskan hubungan antara sumber daya terkait kapabilitas,
perubahan atau status. Tujuannya agar layanan STI dapat digunakan dengan efektif.
2.3 Summary
- Merealisasikan perencanaan yang sudah dibuat (target, tujuan, strategi) → Bagaimana hal itu
bisa tercapai?
- Sumber daya STI dikelola di berbagai proses build
- Setiap proses pada Build memiliki enterprise dan alignment goals → STI bisa memberikan value
pada bisnis ketika selaras
Modul 3: Operating IST

3.1 Overview

Plan → Mentranslasikan arahan governance menjadi perencanaan

Build → Membangun, mengembangkan perencanaan (implementasi sumber daya STI)
Operation → Memastikan sistem yang telah dibangun dan dikembangkan dapat berjalan dan
berkelanjutan untuk memastikan kebutuhan dari organisasi/governance tercapai

● IST Operation
- Kenapa layanan STI harus berkelanjutan?
 Supaya stakeholder internal organisasi mendapatkan informasi terkait bisnis yang dibutuhkan →
Memberikan value di tingkat fungsional atau manajerial → Tujuan tercapai

3.2 IT Process DSS(Delivery, Service, and Support)

3.2.1 Outline IT Process DSS

- Bagaimana kita memastikan sumber daya STI yang kita punya bisa mendeliver dan
mendukung organisasi dengan baik?

3.2.2 Managed Operations

Bagaimana mengoordinasi dan mengeksekusi aktivitas dan prosedur operational untuk mendeliver
layanan yang sifatnya internal maupun outsource → Pengelolaan tidak harus sesuatu yang sudah kita
kembangkan pada proses build.
3.2.3 Managed Service Requests and Incidents
Inti proses ini yaitu agar kita bisa memberikan respon dengan tepat waktu dan efektif. Ketika
terjadi permintaan dan insiden, yang pertama kali diperlukan oleh perusahaan yaitu bagaimana
sumber daya IST dapat memberikan respon dengan baik (tepat waktu dan efektif).

3.2.4 Managed Problems

Sekilas kita berpikir, bahwa incident dan problem adalah dua hal yang sama. Nyatanya, kedua
hal tersebut berbeda.
Incidents: Gangguan yang tidak direncanakan atau penurunan kualitas dalam layanan atau
komponen layanan. Contoh gangguan: ketika kita masuk ke suatu situs menggunakan URL,
kemudian muncul 404 no found atau ketika tidak bisa terhubung ke server. Contoh degradasi:
ketika menonton youtube, video yang diputar selalu buffering bahkan harus reload berulang-
ulang.

Problems: setiap penyebab aktual atau potensial dari satu atau lebih insiden

Analogi: insiden yaitu kebakarannya, sedangkan problem yaitu bagaimana api mulai muncul (bisa jadi
kabel atau kebocoran gas → yang dapat memicu api)

3.2.5 Managed Continuity

Bagaimana kita memelihara agar layanan STI bisa tetap berjalan secara berkelanjutan
meskipun terjadi insiden, perubahan, ancaman, dll.
3.2.6 Managed Security Services
Penggunaan layanan STI pasti berkaitan erat dengan layanan keamanan. Bagaimana kita
mengelola keamanan untuk melindungi informasi? Bagaimana memelihara risiko keamanan
yang dianggap toleran? Bagaimana memelihara privileges dan akses layanan informasi?

3.2.7 Managed Business Process Controls

Mendefinisikan dan memelihara proses bisnis yang sesuai pengontrolannya untuk menjamin
informasi yang terkait untuk bisa memenuhi kebutuhan kontrol informasinya.
3.3 Summary
- Operation merupakan kegiatan sehari-hari(core) dari layanan STI
- bertujuan untuk memiliki layanan terkait IST yang berkelanjutan
- Setiap proses pada Operation memiliki enterprise dan alignment goals
Modul 4: Monitoring IST

4.1 Overview

Proses management bermula pada proses planning yang mana kita mentranslasikan arahan
governance menjadi sebuah perencanaan. Perencanaan yang sudah dibuat kemudian kita
bangun dan kembangkan. Kemudian, memastikan sumber daya STI yang kita punya bisa
mendeliver dan mendukung organisasi dengan baik. Seluruh proses-proses tersebut harus ada
yang mengendalikan dan memastikan semuanya berjalan.

4.2 IT Process MEA (Monitor, Evaluate, Assess)

4.2.1 Outline IT Process MEA

Membahas pemantauan kinerja dan kesesuaian I&T dengan target kinerja internal, tujuan
pengendalian internal, dan persyaratan eksternal.
4.2.2 Managed PERFORMANCE and CONFORMANCE Monitoring
Mengendalikan dan memastikan keseluruhan proses-proses APO, BAI, dan DSS bisa berjalan
dengan baik dan sesuai dengan standar aturan main yang telah ditetapkan bersama.

Key activities:
1. Establish a monitoring approach → Mengembangkan pendekatan monitoring yang akan
digunakan. Apakah akan menggunakan laporan harian, laporan bulanan, atau bahkan observasi?
2. Set performance and conformance targets → Target kinerja berkaitan dengan ukuran-
ukuran untuk mengukur seberapa efektif proses tersebut dijalankan, sedangkan conformance
adalah cara menjalankannya harus sesuai dengan aturan main yang telah ditetapkan bersama.
3. Collect dan process performance and conformance data → Data-data terkait
performance dan conformance dikumpulkan agar bisa diukur.
4. Analyze and report performance → Hasil dari data-data performance dan conformance
dianalisa dan dilaporkan
5. Ensure implementation of corrective actions → Hasil-hasil tersebut kita bisa melihat
mana yang bagus, mana yang perlu diperbaiki dan ditingkatkan.

4.2.3 Managed System of Internal Control

Perusahaan yang baik memiliki mekanisme terkait system internal control. Artinya harus
dipastikan ada pengendalian terhadap keseluruhan proses yang terjadi. Pengendalian yang
dimaksud untuk memastikan proses tersebut ada, berjalan dengan baik, dan sesuai.

Key activities :
1. Monitor internal controls → Seluruh kendali internal yang ada sekarang
 2. Review effectiveness of business process controls → Review apakah kontrol yang ada
sekarang efektif atau tidak (bisa dengan audit atau temuan masalah)
3. Perform control self-assessments → Kita coba dan kasih beberapa skenario untuk
memastikan ada tidaknya pengendalian terhadap proses tersebut
4. Identify and report control deficiencies → Identifikasi dan laporkan hal-hal yang kurang
(keadaan dan ketidakadaan kontrol)

4.2.4 Managed Compliance with External Requirements

Setiap perusahaan di berbagai negara pasti terikat dengan peraturan dan perundang-undangan
yang berlaku. Terkadang, di dalam peraturan tersebut terdapat peraturan spesifik yang
membahas terkiat IT. Maka dari itu, perusahaan harus memastikan bahwa seluruh aktivitas
tidak melanggar peraturan dan perundang-undangan yang ada.

Key activities :
1. Identify external compliance requirements → Mengidentifikasi peraturan di luar
perusahaan
2. Optimize response to external requirements → Memastikan saat ini terjadi optimalisasi
untuk pemenuhan requirements eksternal tersebut
3. Confirm external compliance → Memastikan bahwa perusahaan telah benar-benar
menaatinya (tidak ada pelanggaran yang dilakukan)
4. Obtain assurance of external compliance → Untuk hal-hal yang belum terpenuhi, harus
dipastikan ada kegiatan untuk taat terhadap external compliance (sifatnya dinamis)

4.2.5 Managed Assurance

 1. Ensure that assurance providers are independent and qualified → Hasil suatu laporan
harus dipastikan dikerjakan oleh orang-orang yang independen dan terkualifikasi. Tujuannya
penilaian tidak menimbulkan bias.
2. Develop risk-based planning of assurance initiatives → Mengembangkan perencanaan
inisiatif jaminan berbasis risiko. Menentukan tujuan jaminan berdasarkan penilaian lingkungan
dan konteks internal dan eksternal, risiko tidak tercapainya tujuan perusahaan, dan peluang terkait
pencapaian tujuan yang sama.
3. Determine the objectives of the assurance initiative → Tetapkan dan setujui semua
pemangku kepentingan tentang tujuan inisiatif jaminan.
4. Define the scope of the assurance initiative → Tetapkan dan sepakati dengan semua
pemangku kepentingan tentang ruang lingkup inisiatif assurance, berdasarkan tujuan assurance.
5. Define the work program for the assurance initiative → Tetapkan program kerja
terperinci untuk inisiatif penjaminan, yang terstruktur sesuai dengan tujuan manajemen dan
komponen tata kelola dalam ruang lingkup.
6. Execute the assurance initiative, focusing on design effectiveness → Jalankan
inisiatif jaminan yang direncanakan. Memvalidasi dan mengkonfirmasi desain pengendalian
internal yang ada. Selain itu, dan khususnya dalam penugasan audit internal, pertimbangkan
efektivitas biaya dari desain komponen tata kelola.
7. Execute the assurance initiative, focusing on operating effectiveness → Jalankan
inisiatif jaminan yang direncanakan. Menguji apakah pengendalian internal yang ada sudah sesuai
dan memadai. Uji hasil tujuan manajemen utama dalam lingkup inisiatif jaminan.
8. Report and follow up on the assurance initiative → Memberikan pendapat jaminan
positif, jika sesuai, dan rekomendasi untuk perbaikan yang berkaitan dengan kinerja operasional
yang teridentifikasi, kepatuhan eksternal dan kelemahan pengendalian internal.
9. Follow up on recommendations and actions → Menyetujui, menindaklanjuti, dan
menerapkan rekomendasi perbaikan yang teridentifikasi

4.3 Summary
- Kita tidak bisa me-manage apa yang tidak bisa kita ukur
- Setiap proses pada Monitoring memiliki enterprise dan alignment goals
Modul 5: Risk Management IST

5.1 Overview

Salah satu value creation yang bisa dihasilkan dari tata kelola yaitu Risk Optimisation. Maka
dari itu, aspek governance, management, risiko saling berkaitan. Jika kita jelek dalam
mengelola risiko, governance dan management sumber daya STI akan buruk. Selain itu,
performa governance yang jelek juga ditandai dengan pengelolaan risiko yang tidak baik.

Berdasarkan IT Process COBIT 2019, risiko cukup banyak dibahas seperti gambar di bawah ini:
Pada bagian APO, risiko dibahas agar tidak menimulkan efek domino pada domain Build,
Operation, dan Monitoring. Risiko banyak dibahas pada domain DSS dikarenakan operation
merupakan kegiatan sehari-hari/primary/core yang berlangsung paling lama dan berkelanjutan.

5.2 Content

5.2.1 Risk
● Apa itu Risiko?
Efek atau dampak dari ketidakpastian (sesuatu yang belum bisa dipastikan) baik itu
negatif ataupun positif.
● Pada umumnya, perusahaan-perusahaan akan berfokus mengelola risiko yang bersifat
negatif. Hal ini dikarenakan risiko positif memberikan keuntungan kepada perusahaan
sehingga perusahaan cenderung tidak perlu melakukan usaha pengelolaan lebih lanjut.
Pengelolaan risiko dibagi menjadi beberapa tahap:
- Identification → Risiko apa saja yang mungkin terjadi
- Assessment → Penilaian terhadap risiko-risiko yang ada
- Prioritization → Berdasarkan penilaian, kita tentukan prioritas pengelolaan risiko
● Pengelolaan risiko melibatkan koordinasi dan penerapan sumber daya ekonomis untuk
meminimalisasi dampak dan memaksimalkan peluang.

5.2.2 Sources

PS : Ketidakpastian menjadi salah satu sumber risiko yang paling banyak ditemukan

5.2.3 Enterprise Risk Management

● Metode dan proses pengelolaan risiko yang digunakan oleh perusahaan
● Framework ini meliputi :
- Identifikasi kejadian-kejadian yang terjadi di perusahaan yang berkaitan dengan
risiko dan peluang
- Melakukan penilaian terhadap risiko (seberapa sering dan berdampak)
- Tentukan bagaimana strategi untuk merespon risiko-risiko yang ada
 - Monitoring terhadap progress dan jaminan pengelolaan risiko → Apakah planning atau
strategi respon risiko tersebut dijalankan dengan baik atau tidak.
● Singkatnya, ERM adalah pendekatan berbasis risiko dalam mengelola
perusahaan/enterprise

● Keuntungan :
- Bisa teridentifikasi dan mengalamatkan kemungkinan risiko dan peluang yang
akan terjadi
- Perusahaan dapat melindungi dan menciptakan value kepada stakeholder

● Beberapa strategi respon risiko:

- Avoid: Menghindari risiko → Risiko yang bersifat negatif. Biasanya dilakukan ketika
ingin meminimalisasi dampak negatif dan tidak memiliki cara untuk memitigasinya
- Reduction/mitigate: Tindakan-tindakan untuk mengurangi frekuensi atau impact
dari risiko
- Alternative Actions: Mencari alternatif lain (tidak hanya satu planning) yang
feasible dalam meminimalkan risiko
- Share or Insure: Mentransfer porsi dari risiko (contoh: penggunaan cloud
computing)
- Accept: Tidak melakukan apa-apa atau siap menerima risiko

● Tipe-tipe risiko:
- Hazard risk
Risiko yang memberikan efek bahaya, seperti keselamatan, bencana alam
- Financial risk
Risiko yang berhubungan dengan keuangan, seperti harga, aset, nilai tukar
uang, likuiditas
- Operational risk
Risiko yang berhubungan dengan operational, seperti kepuasan pelanggan,
kegagalan produk, dan reputasi
- Strategic risk
Risiko yang sifatnya jangka panjang, seperti kompetitor dan tren

5.2.4 IT Risk
● IT Risk Concept
● IT Risk Framework
- Mengintegrasikan pengelolaan risiko IT dan enterprise
- Membandingkan hasil penilaian risiko IT terhadap appetite (risiko yang mungkin
masih bisa diterima oleh organisasi) and risk tolerance (batas ambang/treshold
risiko bisa diterima) organisasi
- Memahami bagaimana mengelola risiko secara keseluruhan

● IT Risk Categories

● IT Risk Domain
5.3 Summary
- Risiko itu seperti rem pada kendaraan
- Memahami risiko akan dapat memaksimalkan sumber daya STI
Modul 6: Materi Tambahan Tubes

6.1 Overview

6.2 Analisis Kondisi Perusahaan

6.2.1 Porter’s Five Forces Analysis → External

Komponen Penjelasan

Industry Rivalry Apabila perusahaan memiliki banyak kompetitor dengan

produk dan/atau layanan yang ekuivalen, maka force dari
komponen ini semakin besar. Saat perusahaan tidak memiliki
banyak kompetitor, maka force ini low, dan perusahaan
 memiliki advantage lebih untuk mengenakan biaya lebih
tinggi ke pelanggan dan membuat penawaran ke supplier
untuk memaksimalkan profit.

Threat of New Apabila sulit bagi perusahaan baru untuk memasuki pasar dan
Entrants menjadi kompetitor yang bersaing, force dari komponen ini
dinilai rendah. Tingkat kesulitan dinilai dari waktu dan biaya
yang dibutuhkan. Sebaliknya, bila barrier rendah, maka force
komponen ini menjadi tinggi.

Supplier Power Force ini dinilai tinggi apabila hanya sedikit supplier yang
tersedia untuk industri dan/atau butuh cost yang besar apabila
perusahaan ingin berganti supplier.

Buyer Power Apabila perusahaan memiliki jumlah pelanggan yang sedikit,

pengaruh pelanggan ke perusahaan signifikan, dan sulit untuk
mencari pelanggan baru, maka force dari komponen ini high
karena buyer memiliki kekuatan untuk negoisasi harga
produk/layanan.

Threat of Substitute adalah produk/layanan lain yang berbeda namun

Substitutes memiliki fungsionalitas yang sama sehingga dapat
menggantikan produk/layanan milik perusahaan. Apabila
produk/layanan suatu perusahaan memiliki banyak substitute,
maka force dari threat ini bernilai tinggi karena pelanggan
dapat beralih ke substitute.

6.2.1 Value Chain Analysis → Internal

● Primary activities:

Jenis Aktivitas Deskripsi Contoh

Inbound Mengacu pada aktivitas 1. Melakukan

Logistics yang berhubungan dengan penyetokan bahan
barang yang diperoleh dari baku dari supplier di
supplier dan digunakan gudang penyimpanan
untuk memproduksi produk 2. Melakukan inventory
akhir control penyimpanan
bahan baku

Operations Mengacu pada aktivitas 1. Memproduksi barang

untuk memproses bahan baku menjadi produk
baku dan barang menjadi 2. Melakukan quality
produk akhir control dalam proses
produksi

Outbound Mengacu pada aktivitas 1. Mengantarkan

Logistics untuk mendistribusikan makanan dan minuman
produk akhir ke pusat ke pelanggan secara
distribusi, grosir, pengecer, langsung
pelanggan. 2. Mendistribusikan
produk kepada
pelanggan lewat kurir
3. Mendistribusikan
produk ke grosir
dengan pengantaran
truk
4. Melakukan
manajemen
penjadwalan shipment

Marketing and Mengacu pada aktivitas 1. Memasarkan produk

Sales yang berhubungan dengan lewat konten media
proses pemasaran, promosi, sosial Instagram
strategi efektif, dsb. kepada 2. Bekerja sama dengan
 pelanggan/ target market platform online shop
3. Mengadakan promo
bulanan

Service Mengacu pada aktivitas 1. Menyediakan platform

yang berhubungan dengan untuk customer
layanan pendukung yang service di media sosial
ditawarkan perusahaan Instagram
kepada pelanggan 2. Menerima guest
comment
3. Menyediakan layanan
garansi/ jaminan
4. Memberlakukan
protokol kesehatan
bagi pengunjung

● Support activities:

Jenis Deskripsi Contoh

Aktivitas

Firm Mengacu pada aktivitas yang 1. Mengelola

Infrastructur berhubungan dengan hubungan administrasi keuangan
e keuangan, struktur hukum, dan 2. Menentukan strategi
struktur manajemen agar penjualan produk
bekerja secara efisien 3. Mengatur regulasi
internal perusahaan

Human Mengacu pada aktivitas yang 1. Merekrut karyawan

Resource berhubungan dengan 2. Melakukan
Management perekrutan, pelatihan, dan pemantauan kinerja
pengembangan sumber daya dan kualitas karyawan
 manusia yang menjalankan 3. Mengadakan pelatihan
organisasi karyawan
4. Melakukan penggajian
dan pemberian bonus
kepada karyawan

Technology Mengacu pada aktivitas 1. Memanfaatkan

Development penggunaan teknologi misalnya teknologi X untuk
dalam proses produksi, proses produksi secara
penelitian dan pengembangan otomatis
teknologi, akses teknologi 2. Menggunakan
seperti Internet, dll. teknologi Y untuk
melakukan pendataan
inventarisasi bahan
baku

Procurement Mengacu pada aktivitas 1. Melakukan proses

pengadaan barang dan tender supplier dalam
hubungannya dengan supplier mencari vendor
untuk mendapatkan harga dan terbaik
kualitas barang terbaik 2. Melakukan
komunikasi berkala
dengan supplier
terkait pengadaan
bahan baku X
3. Melakukan pengadaan
bahan baku X

6.3 Perancangan Arsitektur Teknologi Informasi

Referensi: http://www.umsl.edu/~lacity/misqearch.pdf
 ● Application Silo Architecture: Aplikasi individu yang melayani proses atau unit bisnis
tertentu. Sistem-sistem yang ada di perusahaan tidak terintegrasi dan tidak berkomunikasi
satu sama lain.
● Standardized Technology Architecture: Arsitektur ini bertujuan untuk meningkatkan
efisiensi TI. Di arsitektur ini, dilakukan standarisasi teknologi yang biasanya berupa
sentralisasi. Oleh karena itu, aplikasi yang digunakan biasanya lebih sedikit.
● Rationalized Data Architecture: Di arsitektur ini, dilakukan integrasi dan standardisasi
aplikasi, data, serta proses inti perusahaan di seluruh divisi/departemen dalam
perusahaan. Arsitektur ini menghilangkan keragaman pada proses inti perusahaan.
● Modular Technology Architecture: Arsitektur ini merupakan pengembangan rationalized
architecture dengan memungkinkan keberagaman.di proses perusahaan. Hal ini dicapai
dengan penggunaan modul yang disesuaikan dengan kebutuhan strategis perusahaan

6.4 Penentuan Rencana Strategis Bisnis

Generic Strategy Deskripsi

Cost Leadership Dengan strategi ini, perusahaan meningkatkan profit dengan

mengurangi cost. Perusahaan dapat memilih untuk tetap
mengenakan biaya yang sama, atau perusahaan dapat
meningkatkan market share dengan mengurangi biaya yang
dikenakan ke pelanggan.

Differentiation Perusahaan membuat produk atau layanan yang unik dan lebih
attractive daripada kompetitor

Focus Perusahaan fokus ke pasar yang spesifik atau niche. Terbagi

menjadi dua, differentiation focus dan cost focus.

Contoh pertimbangan eksternal:

● Bagaimana strategi ini dapat mengurangi atau mengendalikan supplier power dan/atau
 buyer power?
● Bagaimana strategi ini dapat membuat perusahaan ini menjadi pesaing kompetitif di
pasar? (menekan competitive rivalry)
● Bagaimana strategi ini dapat mengurangi atau menghilangkan ancaman substitusi
dan/atau new player?
● Apakah ada opportunity yang dapat dimanfaatkan?
● Apakah ada threat yang perlu diperhatikan dalam penggunaan strategi ini?

Contoh pertimbangan internal:

● Apakah terdapat struktur organisasi yang mendukung? (RACI)

● Sebanyak atau sebesar apa perubahan yang diperlukan di value chain perusahaan?
Apakah perubahan tersebut memungkinkan?
● Apakah perubahan yang dibutuhkan sesuai dengan visi, misi, serta strength perusahaan?