4. ANALISA Capability Maturity Model Integration (CMMI)

(1)

4. ANALISA Capability Maturity Model Integration (CMMI)

Pada bab ini dilakukan proses wawancara terhadap narasumber dari perusahaan (kepala IT dan staff IT perusahaan). Pertanyaan yang diajukan berdasarkan general practices dari CMMI. Sebelum melakukan proses risk identification, risk analysys, risk evaluation, dan risk response yang mengacu pada ISO 31000.

4.1. Pertanyaan General Practices CMMI 4.1.1. GP 2.1 Establish an Organizational Policy

1. Apakah ada senior manajer di PT.Z yang menangani IT secara khusus?

Jawaban : Kepala IT

2. Apakah ada proses guiding dalam hal Acquisition, Implementation, dan Maintenance software? (Misal platform yang digunakan,bahasa pemrograman)?

Jawaban : Ada, delphi, php dan visual basic

3. Apakah ada direction untuk tren IT pada PT PT.Z ini? (misal Cloud,virtualisasi)?

Jawaban : Belum ada

4. Apakah ada harapan yang ingin dicapai untuk software yang di implementasikan di PT.Z ini?

Jawaban : Ada tapi tidak dikomunikasikan secara langsung dan tertulis

4.1.2. GP 2.2 Plan the process

Untuk GP 2.2 wawancara dilakukan untuk 3 proses IT yang akan dianalisa risikonya yaitu Acquisition, Implementation, and Maintenance.

Acquisition :

Apakah telah memiliki : 1. Process description

Deskripsi (definisi) dari setiap proses IT yang ada Jawaban : Belum ada

(2)

2. Standards and requirements for the work products and services of the process

Standart dan kebutuhan untuk setiap proses IT (dokumen perencanaan)

Jawaban : Belum ada

3. Specific objectives for the performance of the process (e.g., quality, time scale, cycle time, and resource usage)

Tujuan spesifik untuk tiap proses IT yang ada Jawaban : Belum ada

4. Dependencies among the activities, work products, and services of the process

Keterkaitan antara kegiatann,work products dan services pada proses IT

Jawaban : Belum ada

5. Resources (including funding, people, and tools) needed to perform the process

Telah ada budget khusus,orang khusus, dan alat yang di butuhkan untuk menjalakanan proses IT tersebut?

Jawaban : ada

6. Assignment of responsibility and authority

Pemberian hak dan tanggung jawab yang jelas untuk setiap proses IT yang ada

Jawaban : ada

7. Training needed for performing and supporting the process Training untuk melakukan proses IT di perusahaan

Jawaban : Belum ada

8. Work products to be controlled and the level of control to be applied

Hasil dari setiap proses IT dikontrol dengan benar Jawaban : Belum ada

9. Measurement requirements to provide insight into the performance of the process, its work products, and its services

(3)

Jawaban : Belum ada

10. Involvement of identified stakeholders

Keterlibatan stakeholder dalam proses IT pada perusahaan ? Jawaban : ada

11. Activities for monitoring and controlling the process Kegiatan monitoring dan controlling proses IT

Jawaban : Ada tapi hanya kepala IT dan tidak dilakukan secara sistematis dan lengkap.

12. Objective evaluation activities of the process Evaluasi target pada proses IT

Jawaban : ada

13. Management review activities for the process and the work products

Manajemen mereview kegiatan dan proses IT yang ada dlm perusahaan

Jawaban : Ada untuk software besar saja

Implementation : Apakah telah memiliki :

1. Process description

Jawaban : Belum ada

(4)

Jawaban : Belum ada

Jawaban : ada

Jawaban : ada training

Hasil dari setiap proses IT dikontrol dengan benar Jawaban : Belum ada

Jawaban : Belum ada

12. Objective evaluation activities of the process

(5)

Evaluasi target pada proses IT Jawaban : ada

Jawaban : ada

Maintenance :

Apakah telah memiliki : 1. Process description

Jawaban : Belum ada

Jawaban : ada

(6)

Jawaban : ada

Jawaban : ada training

Hasil dari setiap proses IT dikontrol dengan benar Jawaban : Ada

Jawaban : Belum ada

12. Objective evaluation activities of the process Evaluasi target pada proses IT

Jawaban : ada

(7)

4.1.3. GP 2.3 Provides Resource

Apakah untuk mendukung proses IT telah terdapat resource yang di butuhkan?

1. Dalam hal pendanaan

Jawaban : Selalu di dukung oleh pihak manajemen

2. Dalam hal orang yang memiliki kompetensi untuk melakukan proses tsb.

Jawaban : Ada penilaian kompetensi

3. Dalam hal fasilitas (tempat dan alat) untuk melakukan proses tsb Jawaban : ada

4.1.4. GP 2.4 Assign Responsibility

Apakah ada orang yang bertanggung jawab pada setiap proses IT yang ada?

Jawaban : Ada, yaitu Kepala IT 4.1.5. GP 2.5 Train People

1. Apakah ada instruksi terpadu untuk melakukan proses Acquire,Implementation dan maintenance?

Jawaban : Tidak ada yang tertulis

2. Apakah ada training untuk mengkomunikasikan instruksi tersebut ? Jawaban : Ada training

4.1.6. GP 2.6 Manage Configurations

Apakah ada catatan untuk setiap konfigurasi software di PT.Z ini? (misal settingan server, modul ERp yang di butuhkan oleh perusahaan,komputer,dll.)?

Jawaban : ada

4.1.7. GP 2.7 Identify and Involve Relevant Stakeholders

1. Siapa saja dan sejauh mana keterlibatan stakeholder/management dalam proses Acquire, Implementation dan maintenance di PT.Z ini?

Jawaban : Kepala IT, Manager IT, staff yang divisinya terlibat

2. Dalam proyek IT (Acquire, implementation, Maintenance) – siapa yang bertanggung jawab?

(8)

Jawaban : Supervisor

3. Apakah orang-orang tersebut benar-benar terlibat semua?

Jawaban : Harus, dan dipastikan terlibat semua 4.1.8. GP 2.8 Monitor and Control the Process

1. Siapa yang punya hak untuk menbgontrol sebuah proses Acquisition, Implementation, and Maintenance di PT.Z?

Jawaban : Kepala IT

2. Apakah ada proses pengukuran kesesuaian antara rencana proses entah Acquisition, Implementation, and Maintenance terhadap actual proses?

Jawaban : Untuk pak tantra sendiri

3. Apakah ada proses pengukuran keberhasilan suatu proses Acquisition, Implementation, and Maintenance terhadap target keberhasialn?

Jawaban : Ada tapi tidak formal

4. Apakah ada evaluasi dari efek yang di timbulkan karena adanya ketidak sesuaian dengan rencana?

Jawaban : Ada tp tidak formal

5. Apakah ada identifikasi masalah yang timbul saat pelaksanaan proses Acquisition, Implementation, and Maintenance?

Jawaban : Ada tp tidak formal

4.1.9. GP 2.9 Objectively Evaluate Adherence

1. Apakah ada peraturan yang memastikan kesesuaian kebutuhan, standart, dan prosedur yang diinginkan oleh pihak perusahaan?

Jawaban : Belum ada

4.1.10. GP 2.10 Review Status with Higher Level Management

1. Apakah ada laporan kepada level manajemen yang lebih tinggi terhadap proses Acquire, Implementaion, dan Maintenance yang di lakukan di PT.Z?

Jawaban : Ada ya kepada Direktur operasional (atasan kepala IT)

(9)

4.2. Pembobotan CMMI

Berdasarkan wawancara mengenai CMMI dan survei tingkat kepentingan CMMI kepada beberapa responden dari divisi IT kemudian dilakukan pembobotan untuk mendapatkan general pratices yang dianggap penting akan tetapi belum terpenuhi secara maksimal. General practices itulah yang kemudian akan dipetakan (mapping) pada domain COBIT.Survei tingkat kepentingan CMMI ini dilakukan kepada 5 responden dari staf divisi IT dengan mengisi angka 1-5 untuk tiap general practices dan dilakukan perhitungan terhadap jumlah nilai maksimal didapatkan hasil seperti pada Tabel 4.1.

Tabel 4.1.Pembobotan CMMI Rank General

Practices

Nilai Survei Persentase

1 GP2.3 25 10.46%

2 GP2.4 25 10.46%

3 GP2.5 25 10.46%

4 GP2.8 25 10.46%

5 GP2.10 25 10.46%

6 GP2.1 24 10.04%

7 GP2.6 24 10.04%

8 GP2.7 24 10.04%

9 GP2.2 21 8.78%

10 GP2.9 21 8.78%

TOTAL 239 100%

Selanjutnya dilakukan perhitungan pada setiap general practices menggunakan persentase pada Tabel 4.1, setiap pertanyaan pada tiap general practices mempunyai nilai yang sama dalam menyusun persentase sebuah general practices.

1. GP2.3 (10.46%)

Apakah untuk mendukung proses IT telah terdapat resource yang di butuhkan?

✔ (3.48%) Dalam hal pendanaan Jawaban : Selalu di dukung

(10)

✔ (3.48%) Dalam hal orang yang memiliki kompetensi untuk melakukan proses tsb.

Jawaban : Ada penilaian kompetensi

✔ (3.48%) Dalam hal fasilitas (tempat dan alat) untuk melakukan proses IT

Jawaban : Ada

Total terpenuhi : 10.46%/10.46%

2. GP2.4 (10.46%)

✔ (10.46%) Apakah ada orang yang bertanggung jawab pada setiap proses IT (Acquisition, Implementation, and Maintenance ) yang ada?

Jawaban : Kepala IT

3. GP2.5 (10.46%)

✔ (5.23%) Apakah ada tata cara untuk melakukan proses Acquire, Implementation dan maintenance?

Jawaban : Ada tetapi Tidak ada yang tertulis

✔ (5.23%) Apakah ada training untuk mensosialisasikan instruksi tersebut ?

Jawaban : Ada training

4. GP2.8(10.46%)

✔ (1.74%) Adakah yang punya hak untuk mengontrol sebuah proses Acquire, Implementation, dan Maintenance di PT.Z?

Jawaban : Kepala IT

✘ (1.74%) Apakah ada proses pengukuran kesesuaian antara rencana proses entah A,I,M terhadap actual proses?

Jawaban : Ada, akan tepai hanya dari dan untuk Kepala IT sendiri

✘ (1.74%) Apakah proses kontrol tersebut dilkakukan secara berkelanjutan/berulang?

(11)

Jawaban : Tidak,hanya ketika Kepala IT merasa butuh

✘ (1.74%) Apakah ada proses pengukuran keberhasilan suatu proses A,I,M terhadap target keberhasialn?

Jawaban : Ada tapi hanya dilakukan kepala IT dan tidak terpadu dengan staff IT lainnya

✘ (1.74%) Apakah ada evaluasi dari efek yang di timbulkan karena adanya ketidak sesuaian dengan rencana?

✘ (1.74%) Apakah ada identifikasi masalah yang timbul saat pelaksanaan proses A,I,M?

5. GP2.10(10.46%)

✔ (10.46%) Apakah ada laporan kepada level manajemen yang lebih tinggi terhadap proses Acquire, Implementaion,dan maintenace yang di lakukan di PT.Z?

Jawaban : Laporan ke kepala IT Total terpenuhi : 10.46%/10.46%

6. GP2.1(10.04%)

✔ (2.51%) Apakah ada senior manajer di PT.Z yang menangani IT secara khusus?

Jawaban : Kepala IT

✔ (2.51%) Apakah ada proses guiding dalam hal Acquisition, Implementation, dan Maintenance software? (Misal platform yang digunakan,bahasa pemrograman)?

Jawaban : Ada, delphi, php dan vb

✘ (2.51%) Apakah ada direction untuk tren IT pada PT PT.Z ini? (misal Cloud,virtualisasi)?

(12)

Jawaban : Belum ada

✔ (2.51%) Apakah ada harapan yang ingin dicapai untuk software yang di implementasikan di PT.Z ini?

Jawaban : Ada tapi tidak dikomunikasian secara langsung dan tertulis

7. GP2.6(10.04%)

✔ (10%) Apakah ada catatan untuk setiap konfigurasi software di PT.Z ini? (misal settingan server, modul ERp yang di butuhkan oleh perusahaan,komputer,dll.)

Jawaban : ada

8. GP2.7(10.04%)

✔ (3.34%) Siapa saja dan sejauh mana keterlibatan stakeholder / management dalam proses Acquire, Implementation dan maintenance di PT.Z ini?

Jawaban : Kepala IT, Manager IT, staff yang divisinya terlibat dari proses pengkajian sampai proses pengadaan,implementasi dan maintenance berhasil

✔ (3.34%) Dalam proyek IT (Acquire, implementation, Maintenance) – Apakah ada yang bertanggung jawab untuk setiap proyek nya?

Jawaban : Supervisor

✔ (3.34%) Apakah orang-orang tersebut benar-benar terlibat semua?

Jawaban : Harus terlibat semua Total terpenuhi : 10.04%/10.04%

9. GP2.2(8.78%)

Pada general practices 2.2 ini terdapat 117 poin objektif yang harus dipenuhi oleh perusahaan dan setiap poin bernilai 0.075% dari total persentase maksimum yaitu 8.78%. Hasil dari wawancara mengenai

(13)

GP.2.2 pada bagian Acquisition, Implementation, dan maintenance dapat dilihat pada Tabel 4.2, Tabel 4.3, dan Tabel 4.4.

Tabel 4.2.GP2.2 pada proses Acquisition Software

CMMI aspect

JD. Edward ERP TrackStudio HRM system

Process description Belum ada secara tertulis

Belum ada secara tertulis

Standards and requirements for the work products and services of the process

Belum ada Belum ada Belum ada

specific objectives for the performance of the process (e.g., quality, time scale, cycle time, and resource usage)

Dependencies among the activities, work products, and services of the process

Resources (including funding, people, and tools) needed to perform the process

ada Ada ada

Assignment of responsibility and authority

ada ada ada

Training needed for performing and supporting the process

Work products to be controlled and the level of control to be applied

Measurement

requirements to provide insight into the

performance

of the process, its work products, and its services

Involvement of

identified stakeholders Ada Ada ada

Activities for monitoring and controlling the process

Ada tetapi tidak secara kontinu, dan hanya kepala IT yang melakukan untuk kepentingan kepala IT sendiri

Ada tetapi tidak secara kontinu, dan hanya kepala IT yang melakukan untuk kepentingan kepala IT sendiri

Objective evaluation

activities of the process Ada tetapi tidak berbentuk laporan

Ada tetapi tidak berbentuk laporan

Management review activities for the process and the work products

Ada Ada Ada

(14)

Tabel 4.3.GP2.2 pada proses Implementation Software

CMMI aspect

Process description Belum ada secara tertulis

ada ada Ada

Measurement

performance

Involvement of

identified stakeholders ada ada Ada

Ada Ada Ada

Tabel 4.4.GP2.2 pada proses Maintenance

(15)

Software CMMI aspect

Process description Belum ada secara tertulis

ada ada Ada

Measurement

performance

Involvement of

identified stakeholders ada ada Ada

Ada Ada Ada

Total terpenuhi : 63/117

Total persentase terpenuhi : 63*0.075 = 4.725%/8.78%

(16)

10. GP2.9(8.78%)

✘ (4.39%) Apakah ada peraturan yang memastikan kesesuaian kebutuhan, standart, dan prosedur yang diinginkan oleh pihak perusahaan?

Jawaban : Belum ada

✔(4.39%) Apakah ada orang yang memastikan kesesuaian kebutuhan, standart, dan prosedur yang diinginkan oleh pihak perusahaan?

Jawaban : Ada ya kepala IT Total terpenuhi : 4.39%/8.78%

4.3. Hasil Analisa CMMI

Berdasarkan hasil wawancara dan pembobotan CMMI disimpulkan bahwa PT.Z telah memenuhi CMMI level 2 sebesar 80.3% seperti terlihat pada Tabel 4.5. PT.Z dapat disimpulkan memiliki level CMMI sebesar 1.8 dari 5 level CMMI yang ada.

Tabel 4.5.Tabel Persentase CMMI Terpenuhi No General

Practices

Nilai Persentase Terpenuhi

Persentase Maksimal

1 GP2.3 10.46% 10.46%

2 GP2.4 10.46% 10.46%

3 GP2.5 10.46% 10.46%

4 GP2.8 1.74% 10.46%

5 GP2.10 10.46% 10.46%

6 GP2.1 7.53% 10.04%

7 GP2.6 10.04% 10.04%

8 GP2.7 10.04% 10.04%

9 GP2.2 4.72% 8.78%

10 GP2.9 4.39% 8.78%

TOTAL 80.3% 100%

(17)

GP2.8 adalah general practices yang digunakan sebagai bahan analisa risiko pada tahap selanjutnya. GP2.8 merupakan general practices yang paling tidak dapatdipenuhi oleh perusahaan akan tetapi berdasarkan hasil survei termasuk dalam top 4 general practices yang dianggap penting oleh perusahaan.

Mapping CMMI kepada COBIT dilakukan dengan menggunakan GP2.8 yang telah didapatkan pada bab ini dan menghasilkan PO8.6 dan ME1.1 (ISACA., 2007) sebagai area domain COBIT yang akan digunakan pada bab selanjutnya yaitu identifikasi risiko.