Domain APO menyediakan panduan untuk Solution Delivery dan Service Delivery (BAI) serta pendukung (DSS). Domain ini melingkupi strategi dan taktik, serta mengidentifikasi cara terbaik dimana TI dapat berkontribusi dalam pencapaian tujuan bisnis. Realisasi dari visi strategis harus direncanakan, dikomunikasikan dan dikelola pada perspektif yang berbeda. Domain ini juga berisi tentang pengelolaan organisasi dan infrastruktur teknologi dengan layak.

APO01 - Manage The IT management Framework

Manage The IT management Framework adalah proses yang memperjelas dan memelihara tata kelola misi dan visi TI perusahaan. Menerapkan dan memelihara mekanisme dan otoritas untuk mengelola informasi dan penggunaan TI di perusahaan untuk mendukung tujuan tata kelola sejalan dengan prinsip dan kebijakan panduan. Tujuan dari proses ini adalah menyediakan pendekatan manajemen yang konsisten untuk memungkinkan persyaratan tata kelola perusahaan dipenuhi, yang mencakup proses manajemen, struktur organisasi, peran dan tanggung jawab, aktivitas yang andal dan dapat diulang, serta keterampilan dan kompetensi.

IT-related Goals

• Penyelarasan TI dan strategi bisnis

• Kepatuhan dan dukungan TI untuk kepatuhan bisnis dengan hukum dan peraturan eksternal

• kelincahan TI

• Optimalisasi aset, sumber daya, dan kemampuan TI

• Kepatuhan TI dengan kebijakan internal

• Personel bisnis dan TI yang kompeten dan termotivasi

• Pengetahuan, keahlian, dan inisiatif untuk inovasi bisnis

Process Goals

• Seperangkat kebijakan yang efektif ditetapkan dan dipelihara.

• Setiap orang menyadari kebijakan dan bagaimana mereka harus dilaksanakan.

RACI Chart

APO01.01 Define the organisational structure

Menetapkan struktur organisasi internal dan diperluas yang mencerminkan kebutuhan bisnis dan prioritas TI. Menerapkan struktur manajemen yang diperlukan (misalnya, komite) yang memungkinkan pengambilan keputusan manajemen dilakukan dengan cara yang paling efektif dan efisien.

Inputs :

• EDM01.01 : Decision-making model & Enterprise governance guiding principles

• APO03.02 : Process architecture model

Outputs :

• Definition of organisational structure and functions : APO03.02

• Enterprise operational guidelines : APO03.02

• Communication ground rules : All APO & All BAI & All DSS & All MEA

Activities :

1. Menentukan ruang lingkup, fungsi internal dan eksternal, peran internal dan eksternal, serta kemampuan dan hak keputusan yang diperlukan, termasuk aktivitas TI yang dilakukan oleh pihak ketiga

2. Mengidentifikasi keputusan yang diperlukan untuk pencapaian hasil perusahaan dan strategi TI, dan untuk pengelolaan dan pelaksanaan layanan TI

3. Membangun keterlibatan pemangku kepentingan yang penting untuk pengambilan keputusan (akuntabel, bertanggung jawab, dikonsultasikan atau diinformasikan)

4. Sejajarkan organisasi terkait TI dengan model organisasi arsitektur perusahaan

5. Tentukan fokus, peran, dan tanggung jawab masing-masing fungsi dalam struktur organisasi terkait TI

6. Menetapkan struktur dan hubungan manajemen untuk mendukung fungsi dan peran manajemen dan pelaksanaan, sejalan dengan arahan tata kelola yang ditetapkan.

7. Membentuk komite strategi TI (atau setara) di tingkat dewan. Komite ini harus memastikan bahwa tata kelola TI, sebagai bagian dari tata kelola perusahaan, ditangani secara memadai; memberi nasihat tentang arah strategis; dan meninjau investasi besar atas nama dewan penuh.

8. Membentuk komite pengarah TI (atau setara) yang terdiri dari eksekutif, bisnis, dan manajemen TI untuk menentukan prioritas program investasi yang mendukung TI sejalan dengan strategi dan prioritas bisnis perusahaan; melacak status proyek dan menyelesaikan konflik sumber daya; dan memantau tingkat layanan dan peningkatan layanan.

9. Memberikan pedoman untuk setiap struktur manajemen (termasuk mandat, tujuan, peserta rapat, waktu, pelacakan, pengawasan dan pengawasan) serta masukan yang diperlukan untuk dan hasil yang diharapkan dari rapat

10. Tetapkan aturan dasar untuk komunikasi dengan mengidentifikasi kebutuhan komunikasi, dan menerapkan rencana berdasarkan kebutuhan tersebut, dengan mempertimbangkan komunikasi top-down, bottom-up, dan horizontal.

11. Membangun dan memelihara koordinasi, komunikasi, dan struktur penghubung yang optimal antara bisnis dan fungsi TI di dalam perusahaan dan dengan entitas di luar perusahaan

12. Secara teratur memverifikasi kecukupan dan efektivitas struktur organisasi

APO01.02 Establish roles and responsibilities

Menetapkan, menyepakati dan mengkomunikasikan peran dan tanggung jawab personel TI, serta pemangku kepentingan lainnya dengan tanggung jawab untuk TI perusahaan, yang secara jelas mencerminkan kebutuhan bisnis dan tujuan TI secara keseluruhan serta otoritas, tanggung jawab, dan akuntabilitas personel yang relevan

Inputs :

• EDM01.01 : Authority levels

• EDM04.02 : Assigned responsibilities for resource management

• APO07.03 : Skill development plans & Skills and competencies matrix

• APO11.01 : Quality management system (QMS) roles, responsibilities and decision rights

• APO13.01 : Information security management system (ISMS) scope statement

• DSS06.03 : Allocated levels of authority & Allocated roles and responsibilities

Outputs :

• Definition of IT-related roles and responsibilities : DSS05.04

• Definition of supervisory practices : APO07.01

Activities :

1. Menetapkan, menyepakati dan mengkomunikasikan peran dan tanggung jawab terkait TI untuk semua personel di perusahaan, sejalan dengan kebutuhan dan tujuan bisnis. Jelas menggambarkan tanggung jawab dan akuntabilitas, terutama untuk pengambilan keputusan dan persetujuan.

2. Pertimbangkan persyaratan dari perusahaan dan kontinuitas layanan TI saat menentukan peran, termasuk persyaratan cadangan staf dan pelatihan silang.

3. Memberikan masukan untuk proses kesinambungan layanan TI dengan mempertahankan informasi kontak terkini dan deskripsi peran di perusahaan.

4. Termasuk dalam deskripsi peran dan tanggung jawab kepatuhan terhadap kebijakan dan prosedur manajemen, kode etik, dan praktik profesional.

5. Menerapkan praktik pengawasan yang memadai untuk memastikan bahwa peran dan tanggung jawab dijalankan dengan benar, untuk menilai apakah semua personel memiliki wewenang dan sumber daya yang cukup untuk menjalankan peran dan tanggung jawab mereka, dan untuk meninjau kinerja secara umum. Tingkat pengawasan harus sesuai dengan kepekaan posisi dan luasnya tanggung jawab yang diberikan.

6. Pastikan bahwa akuntabilitas didefinisikan melalui peran dan tanggung jawab.

7. Struktur peran dan tanggung jawab untuk mengurangi kemungkinan peran tunggal membahayakan proses kritis.

APO01.03 Maintain the enablers of the management system

Memelihara enabler dari sistem manajemen dan lingkungan kontrol untuk TI perusahaan, dan memastikan bahwa mereka terintegrasi dan selaras dengan tata kelola dan filosofi manajemen dan gaya operasi perusahaan. Pemberdaya ini mencakup komunikasi yang jelas tentang harapan/persyaratan. Sistem manajemen harus mendorong kerja sama dan kerja tim lintas divisi, mempromosikan kepatuhan dan peningkatan berkelanjutan, dan menangani penyimpangan proses (termasuk kegagalan)

Inputs :

• EDM01.01 : Enterprise governance guiding principles

• APO02.05 : Strategic road map

• APO12.01 : Emerging risk issues and factors

• APO12.02 : Risk analysis results

Outputs :

• IT-related policies : All APO & All BAI & All DSS & All MEA

Activities :

1. Dapatkan pemahaman tentang visi, arah, dan strategi perusahaan

2. Pertimbangkan lingkungan internal perusahaan, termasuk budaya dan filosofi manajemen, toleransi risiko, keamanan, nilai-nilai etika, kode etik, akuntabilitas, dan persyaratan untuk integritas manajemen.

3. Turunkan dan integrasikan prinsip-prinsip TI dengan prinsip-prinsip bisnis.

4. Menyelaraskan lingkungan kontrol TI dengan lingkungan kebijakan TI secara keseluruhan, tata kelola TI dan kerangka kerja proses TI, serta kerangka kerja risiko dan kontrol tingkat perusahaan yang ada. Menilai praktik atau persyaratan baik khusus industri (misalnya, peraturan khusus industri) dan mengintegrasikannya jika sesuai

5. Menyelaraskan dengan tata kelola dan standar manajemen dan standar nasional dan internasional yang berlaku dan kode praktik, dan mengevaluasi praktik baik yang tersedia seperti Pengendalian Internal—Kerangka Terpadu COSO dan Kerangka Manajemen Risiko Perusahaan—Kerangka Terpadu COSO.

6. Buat serangkaian kebijakan untuk mendorong ekspektasi kontrol TI pada topik utama yang relevan seperti kualitas, keamanan, kerahasiaan, kontrol internal, penggunaan aset TI, etika, dan hak kekayaan intelektual.

7. Mengevaluasi dan memperbarui kebijakan setidaknya setiap tahun untuk mengakomodasi perubahan lingkungan operasi atau bisnis

8. Luncurkan dan terapkan kebijakan TI kepada semua staf yang relevan, sehingga kebijakan tersebut terintegrasi ke dalam, dan merupakan bagian integral dari, operasi perusahaan.

9. Pastikan bahwa ada prosedur untuk melacak kepatuhan terhadap kebijakan dan menentukan konsekuensi dari ketidakpatuhan.

APO01.04 Communicate management objectives and direction

Mengkomunikasikan kesadaran dan pemahaman tentang tujuan dan arahan TI kepada pemangku kepentingan dan pengguna yang tepat di seluruh perusahaan.

Inputs :

• EDM01.02 : Enterprise governance communication

• EDM04.02 : Principles for safeguarding resources

• APO12.06 : Risk impact communication

• BAI08.01 : Communication on value of knowledge

• DSS04.01 : Policy and objectives for business continuity

• DSS05.01 : Malicious software prevention policy

• DSS05.02 : Connectivity security policy

• DSS05.03 : Security policies for endpoint devices

Outputs :

• Communication on IT objectives : All APO & All BAI & All DSS & All MEA

Activities :

1. Terus mengkomunikasikan tujuan dan arah TI. Pastikan bahwa komunikasi didukung oleh manajemen eksekutif dalam tindakan dan kata-kata, menggunakan semua saluran yang tersedia.

2. Pastikan bahwa informasi yang dikomunikasikan mencakup misi yang diartikulasikan dengan jelas, tujuan layanan, keamanan, kontrol internal, kualitas, kode etik/perilaku, kebijakan dan prosedur, peran dan tanggung jawab, dll. Komunikasikan informasi pada tingkat detail yang sesuai untuk masing-masing audiens dalam perusahaan.

3. Menyediakan sumber daya yang cukup dan terampil untuk mendukung proses komunikasi

APO01.05 Optimise the placement of the IT function.

Posisikan kapabilitas TI dalam struktur organisasi secara keseluruhan untuk mencerminkan model perusahaan yang relevan dengan pentingnya TI dalam perusahaan, khususnya kekritisannya terhadap strategi perusahaan dan tingkat ketergantungan operasional pada TI. Garis pelaporan CIO harus sepadan dengan pentingnya TI dalam perusahaan.

Inputs :

• Outside COBIT : Enterprise operating model & Enterprise strategy

Outputs :

• Evaluation of options for IT organisation : APO03.02

• Defined operational placement of IT function : APO03.02

Activities :

1. Memahami konteks penempatan fungsi TI, termasuk penilaian strategi perusahaan dan model operasi (terpusat, federasi, desentralisasi, hibrida), pentingnya TI, serta situasi dan opsi sumber

2. Identifikasi, evaluasi, dan prioritaskan opsi untuk penempatan, sumber, dan model operasi organisasi

3. Tentukan penempatan fungsi TI dan dapatkan kesepakatan.

APO01.06 Define information (data) and system ownership.

Mendefinisikan dan memelihara tanggung jawab untuk kepemilikan informasi (data) dan sistem informasi. Pastikan bahwa pemilik membuat keputusan tentang mengklasifikasikan informasi dan sistem dan melindunginya sesuai dengan klasifikasi ini.

Outputs :

• Data classification guidelines : APO03.02 & BAI02.01 & DSS05.02 & DSS06.01

• Data security and control guidelines : BAI02.01

• Data integrity procedures : BAI02.01 & DSS06.01

Activities :

1. Memberikan kebijakan dan pedoman untuk memastikan klasifikasi informasi (data) yang tepat dan konsisten di seluruh perusahaan.

2. Menentukan, memelihara, dan menyediakan alat, teknik, dan pedoman yang sesuai untuk memberikan keamanan dan kontrol yang efektif atas informasi dan sistem informasi bekerja sama dengan pemilik

3. Membuat dan memelihara inventaris informasi (sistem dan data) yang mencakup daftar pemilik, penjaga, dan klasifikasi. Sertakan sistem yang dialihdayakan dan sistem yang kepemilikannya harus tetap berada di dalam perusahaan.

4. Menetapkan dan menerapkan prosedur untuk memastikan integritas dan konsistensi semua informasi yang disimpan dalam bentuk elektronik seperti database, gudang data, dan arsip data.

APO01.07 Manage continual improvement of processes

Menilai, merencanakan, dan melaksanakan perbaikan terus-menerus dari proses dan kematangannya untuk memastikan bahwa proses tersebut mampu mencapai tujuan perusahaan, tata kelola, manajemen, dan pengendalian. Pertimbangkan panduan implementasi proses COBIT, standar yang muncul, persyaratan kepatuhan, peluang otomatisasi, dan umpan balik dari pengguna proses, tim proses, dan pemangku kepentingan lainnya. Perbarui proses dan pertimbangkan dampak pada pendukung proses.

Inputs :

• EDM01.03 : Feedback on governance effectiveness and performance

• MEA03.02 : Updated policies, principles, procedures and standards

Outputs :

• Process capability assessments : MEA01.03

• Process improvement opportunities : All APO & All BAI & All DSS & All MEA

• Performance goals and metrics for process improvement tracking : MEA01.02

Activities :

1. Mengidentifikasi proses bisnis-kritis berdasarkan driver kinerja dan kesesuaian dan risiko terkait. Menilai kemampuan proses dan mengidentifikasi target perbaikan. Menganalisis kesenjangan dalam kemampuan proses dan kontrol. Mengidentifikasi pilihan untuk perbaikan dan mendesain ulang proses. Memprioritaskan inisiatif untuk perbaikan proses berdasarkan potensi manfaat dan biaya

2. Terapkan peningkatan yang disepakati, operasikan sebagai praktik bisnis normal, dan tetapkan sasaran dan metrik kinerja untuk memungkinkan pemantauan peningkatan proses

3. Pertimbangkan cara untuk meningkatkan efisiensi dan efektivitas (misalnya, melalui pelatihan, dokumentasi, standarisasi, dan otomatisasi proses)

4. Terapkan praktik manajemen mutu untuk memperbarui proses.

5. Menghentikan proses, komponen proses, atau pengaktif yang sudah ketinggalan zaman

APO01.08 Maintain compliance with policies and procedures

Menerapkan prosedur untuk menjaga kepatuhan dan pengukuran kinerja kebijakan dan pendukung lain dari kerangka kontrol, dan menegakkan konsekuensi dari ketidakpatuhan atau kinerja yang tidak memadai. Lacak tren dan kinerja dan pertimbangkan ini dalam desain masa depan dan peningkatan kerangka kontrol.

Inputs :

• DSS01.04 : Environmental policies

• MEA03.02 : Updated policies, principles, procedures and standards

Outputs :

• Non-compliance remedial actions : MEA01.05

Activities :

1. Lacak kepatuhan terhadap kebijakan dan prosedur.

2. Menganalisis ketidakpatuhan dan mengambil tindakan yang tepat (ini dapat mencakup perubahan persyaratan).

3. Integrasikan kinerja dan kepatuhan ke dalam tujuan kinerja masing-masing anggota staf.

4. Secara teratur menilai kinerja pendukung kerangka kerja dan mengambil tindakan yang tepat

5. Menganalisis tren dalam kinerja dan kepatuhan dan mengambil tindakan yang tepat

Related Guidances

• ISO/IEC 20000 : 3.1 Management responsibility & 4.4 Continual improvement

• ISO/IEC 27002 : Organisation of Information Security

• ITIL V3 2011 : Continual Service Improvement, 4.1 The 7-Step Improvement Process

APO02.01 Understand enterprise direction

Pertimbangkan lingkungan perusahaan saat ini dan proses bisnis, serta strategi perusahaan dan tujuan masa depan. Pertimbangkan juga lingkungan eksternal perusahaan (penggerak industri, peraturan terkait, dasar persaingan).

Inputs :

• EDM04.01 : Guiding principles for allocation of resources and capabilities

• APO04.02 : Innovation opportunities linked to business drivers

• Outside COBIT : Enterprise strategy and enterprise strengths, weaknesses, opportunities, threats (SWOT) analysis

Outputs :

• Sources and priorities for changes : Internal

Activities :

1. Kembangkan dan pertahankan pemahaman tentang strategi dan tujuan perusahaan, serta lingkungan dan tantangan operasional perusahaan saat ini.

2. Mengembangkan dan memelihara pemahaman tentang lingkungan eksternal perusahaan.

3. Identifikasi pemangku kepentingan utama dan dapatkan wawasan tentang kebutuhan mereka

4. Mengidentifikasi dan menganalisis sumber perubahan di perusahaan dan lingkungan eksternal.

5. Pastikan prioritas untuk perubahan strategis.

6. Memahami arsitektur perusahaan saat ini dan bekerja dengan proses arsitektur perusahaan untuk menentukan potensi celah arsitektur

APO02.02 Assess the current environment, capabilities and performance.

Menilai kinerja bisnis internal dan kemampuan TI saat ini dan layanan TI eksternal, dan mengembangkan pemahaman tentang arsitektur perusahaan dalam kaitannya dengan TI. Identifikasi masalah yang saat ini sedang dialami dan kembangkan rekomendasi di bidang yang dapat memperoleh manfaat dari perbaikan. Pertimbangkan pembeda dan pilihan penyedia layanan serta dampak keuangan dan potensi biaya dan manfaat menggunakan layanan eksternal.

Inputs :

• APO06.05 : Cost optimisation opportunities

• APO08.05 : Definition of potential improvement projects

• APO09.01 : Identified gaps in IT services to the business

• APO09.04 : Improvement action plans and remediations

• APO12.01 : Emerging risk issues and factors

• APO12.02 : Risk analysis results

• APO12.03 : Aggregated risk profile, including status of risk management actions

• APO12.05 : Project proposals for reducing risk

• BAI04.03 : Performance and capacity plans & Prioritised improvements

• BAI04.05 : Corrective actions

• BAI09.01 : Results of fit-for-purpose reviews

• BAI09.04 : Opportunities to reduce asset costs or increase value & Results of cost optimisation reviews

Outputs :

• Baseline of current capabilities : Internal

• Gaps and risk related to current capabilities : APO12.01

• Capability SWOT analysis : Internal

Activities :

1. Kembangkan dasar dari lingkungan bisnis dan TI saat ini, kemampuan dan layanan yang dapat dibandingkan dengan kebutuhan masa depan. Sertakan detail tingkat tinggi yang relevan dari arsitektur perusahaan saat ini (bisnis, informasi, data, aplikasi dan domain teknologi), proses bisnis, proses dan prosedur TI, struktur organisasi TI, penyediaan layanan eksternal, tata kelola TI, dan terkait TI di seluruh perusahaan keterampilan dan kompetensi.

2. Identifikasi risiko dari teknologi saat ini, potensial, dan menurun.

3. Mengidentifikasi kesenjangan antara kemampuan dan layanan bisnis dan TI saat ini dan standar referensi dan praktik yang baik, bisnis pesaing dan kemampuan TI, dan tolok ukur komparatif dari praktik yang baik dan penyediaan layanan TI yang muncul.

4. Identifikasi masalah, kekuatan, peluang, dan ancaman di lingkungan, kemampuan, dan layanan saat ini untuk memahami kinerja saat ini. Identifikasi area untuk perbaikan dalam hal kontribusi TI untuk tujuan perusahaan.

APO02.03 Define the target IT capabilities

Tentukan target bisnis dan kapabilitas TI serta layanan TI yang dibutuhkan. Ini harus didasarkan pada pemahaman tentang lingkungan dan persyaratan perusahaan; penilaian proses bisnis saat ini dan lingkungan dan masalah TI; dan pertimbangan standar referensi, praktik yang baik dan teknologi yang muncul atau proposal inovasi yang divalidasi.

Inputs :

• APO04.05 : Analysis of rejected initiatives & Results and recommendations from proof-of-concept initiatives

Outputs :

• High-level IT-related goals : Internal

• Required business and IT capabilities : Internal

• :Proposed enterprise architecture changes : APO03.03

Activities :

1. Pertimbangkan ide-ide teknologi atau inovasi baru yang divalidasi

2. Identifikasi ancaman dari teknologi yang menurun, saat ini dan yang baru diperoleh.

3. Tentukan tujuan/sasaran TI tingkat tinggi dan bagaimana mereka akan berkontribusi pada tujuan bisnis perusahaan

4. Mendefinisikan proses bisnis yang diperlukan dan diinginkan serta kapabilitas TI dan layanan TI dan menggambarkan perubahan tingkat tinggi dalam arsitektur perusahaan (bisnis, informasi, data, aplikasi dan domain teknologi), proses dan prosedur bisnis dan TI, struktur organisasi TI, layanan TI penyedia, tata kelola TI, serta keterampilan dan kompetensi TI

5. Sejajarkan dan setujui dengan arsitek perusahaan tentang perubahan arsitektur perusahaan yang diusulkan.

6. Tunjukkan ketertelusuran ke strategi dan persyaratan perusahaan

APO02.04 Conduct a gap analysis

Identifikasi kesenjangan antara lingkungan saat ini dan target dan pertimbangkan penyelarasan aset (kemampuan yang mendukung layanan) dengan hasil bisnis untuk mengoptimalkan investasi dan pemanfaatan basis aset internal dan eksternal. Pertimbangkan faktor penentu keberhasilan untuk mendukung pelaksanaan strategi.

Inputs :

• EDM02.01 : Evaluation of strategic alignment

• APO04.06 : Assessments of using innovative approaches

• APO05.02 : Investment return expectations

• BAI01.05 : Results of programme goal achievement monitoring

• BAI01.06 : Stage-gate review results

• BAI01.13 : Post-implementation review results

Outputs :

• Gaps and changes required to realise target capability : EDM04.01 & APO13.02 & BAI03.11

• Value benefit statement for target environment : BAI03.11

Activities :

1. Identifikasi semua kesenjangan dan perubahan yang diperlukan untuk mewujudkan lingkungan sasaran.

2. Pertimbangkan implikasi tingkat tinggi dari semua kesenjangan. Pertimbangkan nilai potensi perubahan pada kemampuan bisnis dan TI, layanan TI dan arsitektur perusahaan, dan implikasinya jika tidak ada perubahan yang direalisasikan.

3. Menilai dampak perubahan potensial pada model operasi bisnis dan TI, kemampuan penelitian dan pengembangan TI, dan program investasi TI.

4. Perbaiki definisi lingkungan target dan siapkan pernyataan nilai dengan manfaat lingkungan target.

APO02.05 Define the strategic plan and road map.

Buat rencana strategis yang mendefinisikan, bekerja sama dengan pemangku kepentingan yang relevan, bagaimana tujuan terkait TI akan berkontribusi pada tujuan strategis perusahaan. Sertakan bagaimana TI akan mendukung program investasi yang mendukung TI, proses bisnis, layanan TI, dan aset TI. Arahkan TI untuk menentukan inisiatif yang akan diperlukan untuk menutup kesenjangan, strategi sumber dan pengukuran yang akan digunakan untuk memantau pencapaian tujuan, kemudian memprioritaskan inisiatif dan menggabungkannya dalam peta jalan tingkat tinggi.

Inputs :

• EDM04.01 : Approved resources plan

• EDM04.03 : Feedback on allocation and effectiveness of resources and capabilities & Remedial actions to address resource management deviations

• APO03.01 : Defined scope of architecture & Architecture concept business case and value proposition

• APO03.02 : Information architecture model

• APO03.03 : Transition architectures & High-level implementation and migration strategy

• APO05.01 : Feedback on strategy and goals

• APO05.02 : Funding options

• APO06.02 : Budget allocations

• APO06.03 : IT budget and plan & Budget communications

• APO13.02 : Information security business cases

• BAI09.05 : Action plan to adjust licence numbers and allocations

• DSS04.02 : Approved strategic options

Outputs :

• Definition of strategic initiatives : APO05.01

• Risk assessment initiatives : APO05.01 & APO12.01

• Strategic road map : EDM02.01 & APO01.03 & APO03.01 & APO05.01 & APO08.01

Activities :

1. Tentukan inisiatif yang diperlukan untuk menutup kesenjangan dan bermigrasi dari lingkungan saat ini ke lingkungan target, termasuk anggaran investasi/operasional, sumber pendanaan, strategi pengadaan, dan strategi akuisisi.

2. Mengidentifikasi dan menangani secara memadai risiko, biaya, dan implikasi dari perubahan organisasi, evolusi teknologi, persyaratan peraturan, rekayasa ulang proses bisnis, penempatan staf, peluang insourcing dan outsourcing, dll., dalam proses perencanaan.

3. Menentukan ketergantungan, tumpang tindih, sinergi dan dampak antar inisiatif, dan memprioritaskan inisiatif.

4. Identifikasi kebutuhan sumber daya, jadwal dan anggaran investasi/operasional untuk setiap inisiatif

5. Buat peta jalan yang menunjukkan penjadwalan relatif dan saling ketergantungan inisiatif

6. Terjemahkan tujuan ke dalam ukuran hasil yang diwakili oleh metrik (apa) dan target (berapa banyak) yang dapat dikaitkan dengan manfaat perusahaan

7. Secara formal mendapatkan dukungan dari pemangku kepentingan dan mendapatkan persetujuan untuk rencana tersebut

APO02.06 Communicate the IT strategy and direction

Menciptakan kesadaran dan pemahaman tentang tujuan dan arah bisnis dan TI, seperti yang ditangkap dalam strategi TI, melalui komunikasi kepada pemangku kepentingan dan pengguna yang tepat di seluruh perusahaan.

Inputs :

• EDM04.02 : Communication of resourcing strategies

Outputs :

• Communication plan : Internal

• Communication package : All APO & All BAI & All DSS & All MEA

Activities :

1. Mengembangkan dan memelihara jaringan untuk mendukung, mendukung, dan mendorong strategi TI.

2. Kembangkan rencana komunikasi yang mencakup pesan yang diperlukan, audiens target, mekanisme/saluran komunikasi, dan jadwal.

3. Siapkan paket komunikasi yang menyampaikan rencana secara efektif menggunakan media dan teknologi yang tersedia

4. Dapatkan umpan balik dan perbarui rencana komunikasi dan pengiriman sesuai kebutuhan.

Related Guidances

• ISO/IEC 20000 : 4.0 Planning and implementing service management & 5.0 Planning and implementing new or changed services

• ITIL V3 2011 : Service Strategy, 4.1 Strategy Management for IT Services

APO03 - Manage Enterprise architecture

Manage Enterprise Architecture adalah proses yang Membangun arsitektur umum yang terdiri dari lapisan arsitektur proses bisnis, informasi, data, aplikasi dan teknologi untuk mewujudkan strategi perusahaan dan TI secara efektif dan efisien dengan membuat model dan praktik utama yang menggambarkan arsitektur dasar dan target. Tetapkan persyaratan untuk taksonomi, standar, pedoman, prosedur, templat, dan alat, dan berikan tautan untuk komponen-komponen ini. Meningkatkan keselarasan, meningkatkan kelincahan, meningkatkan kualitas informasi dan menghasilkan penghematan biaya potensial melalui inisiatif seperti penggunaan kembali komponen blok bangunan. Tujuan dari proses ini adalah Mewakili blok bangunan berbeda yang membentuk perusahaan dan hubungan antar mereka serta prinsip-prinsip yang memandu desain dan evolusi mereka dari waktu ke waktu, memungkinkan penyampaian tujuan operasional dan strategis yang standar, responsif dan efisien.

IT-related Goals

• Penyelarasan TI dan strategi bisnis

• kelincahan TI

• Optimalisasi aset, sumber daya, dan kemampuan TI

Process Goals

• Arsitektur dan standar efektif dalam mendukung perusahaan

• Portofolio layanan arsitektur perusahaan mendukung tangkas perubahan perusahaan.

• Ada domain dan/atau arsitektur federasi yang sesuai dan terkini yang menyediakan informasi arsitektur yang andal.

• Kerangka kerja dan metodologi arsitektur perusahaan yang umum serta repositori arsitektur terintegrasi digunakan untuk memungkinkan efisiensi penggunaan kembali di seluruh perusahaan.

RACI Chart

APO03.01 Develop the enterprise architecture vision

Visi arsitektur memberikan gambaran tingkat tinggi dan tingkat tinggi dari arsitektur dasar dan target, yang mencakup domain bisnis, informasi, data, aplikasi, dan teknologi. Visi arsitektur menyediakan sponsor dengan alat utama untuk menjual manfaat dari kemampuan yang diusulkan kepada pemangku kepentingan dalam perusahaan. Visi arsitektur menjelaskan bagaimana kemampuan baru akan memenuhi tujuan perusahaan dan tujuan strategis dan mengatasi kekhawatiran pemangku kepentingan saat diimplementasikan.

Inputs :

• EDM04.01 : Guiding principles for enterprise architecture

• APO02.05 : Strategic road map

• Outside COBIT : Enterprise strategy

Outputs :

• Defined scope of architecture : APO02.05

• Architecture principles : BAI02.01 & BAI03.01 & BAI03.02

• Architecture concept business case and value proposition : APO02.05 & APO05.03

Activities :

1. Identifikasi pemangku kepentingan utama dan perhatian/tujuan mereka, dan tentukan persyaratan utama perusahaan yang akan ditangani serta pandangan arsitektur yang akan dikembangkan untuk memenuhi berbagai persyaratan pemangku kepentingan.

2. Identifikasi tujuan perusahaan dan penggerak strategis perusahaan dan tentukan kendala yang harus ditangani, termasuk kendala seluruh perusahaan dan kendala khusus proyek (waktu, jadwal, sumber daya, dll.).

3. Menyelaraskan tujuan arsitektur dengan prioritas program strategis

4. Pahami kapabilitas dan keinginan bisnis, kemudian identifikasi opsi untuk merealisasikan kapabilitas tersebut

5. Menilai kesiapan perusahaan untuk perubahan.

6. Tentukan apa yang ada di dalam dan apa yang berada di luar ruang lingkup arsitektur baseline dan upaya arsitektur target, dengan memahami bahwa baseline dan target tidak perlu dijelaskan pada tingkat detail yang sama.

7. Konfirmasi dan uraikan prinsip arsitektur, termasuk prinsip perusahaan. Pastikan bahwa setiap definisi yang ada adalah yang terkini dan klarifikasi setiap area ambiguitas.

8. Memahami tujuan dan sasaran strategis perusahaan saat ini dan bekerja dengan proses perencanaan strategis untuk memastikan bahwa peluang arsitektur perusahaan terkait TI dimanfaatkan dalam pengembangan rencana strategis.

9. Berdasarkan kekhawatiran pemangku kepentingan, persyaratan kemampuan bisnis, ruang lingkup, batasan dan prinsip, buat visi arsitektur: pandangan tingkat tinggi dari arsitektur dasar dan target

10. Tentukan proposisi nilai arsitektur target, tujuan dan metrik.

11. Mengidentifikasi risiko perubahan perusahaan yang terkait dengan visi arsitektur, menilai tingkat risiko awal (misalnya, kritis, marjinal, atau dapat diabaikan) dan mengembangkan strategi mitigasi untuk setiap risiko signifikan.

12. Kembangkan kasus bisnis konsep arsitektur perusahaan, garis besar rencana dan pernyataan pekerjaan arsitektur, dan dapatkan persetujuan untuk memulai proyek yang selaras dan terintegrasi dengan strategi perusahaan

APO03.02 Define reference architecture

Arsitektur referensi menggambarkan arus dan arsitektur target untuk bisnis, informasi, data, domain aplikasi dan teknologi.

Inputs :

• APO01.01 : Enterprise operational guidelines & Definition of organisational structure and functions

• APO01.05 : Defined operational placement of IT function & Evaluation of options for IT organisation

• APO01.06 : Data classification guidelines

• Outside COBIT : Enterprise strategy

Outputs :

• Baseline domain descriptions and architecture definition : APO13.02 & BAI02.01 & BAI03.01 & BAI03.02

• Process architecture model : APO01.01

• Information architecture model : APO02.05 & BAI02.01 & BAI03.02 & DSS05.03 & DSS05.04 & DSS05.06

Activities :

1. Mempertahankan repositori arsitektur yang berisi standar, komponen yang dapat digunakan kembali, artefak pemodelan, hubungan, dependensi, dan tampilan untuk memungkinkan keseragaman organisasi dan pemeliharaan arsitektur.

2. Pilih sudut pandang referensi dari repositori arsitektur yang akan memungkinkan arsitek untuk menunjukkan bagaimana kekhawatiran pemangku kepentingan ditangani dalam arsitektur.

3. Untuk setiap sudut pandang, pilih model yang diperlukan untuk mendukung tampilan spesifik yang diperlukan, menggunakan alat atau metode yang dipilih dan tingkat dekomposisi yang sesuai.

4. Kembangkan deskripsi domain arsitektur dasar, menggunakan cakupan dan tingkat detail yang diperlukan untuk mendukung arsitektur target dan, sejauh mungkin, mengidentifikasi blok bangunan arsitektur yang relevan dari repositori arsitektur.

5. Pertahankan model arsitektur proses sebagai bagian dari deskripsi domain dasar dan target. Standarisasi deskripsi dan dokumentasi proses. Tentukan peran dan tanggung jawab pembuat keputusan proses, pemilik proses, pengguna proses, tim proses, dan pemangku kepentingan proses lainnya yang harus terlibat.

6. Mempertahankan model arsitektur informasi sebagai bagian dari deskripsi domain dasar dan target, konsisten dengan strategi perusahaan untuk memungkinkan penggunaan informasi yang optimal untuk pengambilan keputusan. Memelihara kamus data perusahaan yang mempromosikan pemahaman umum dan klasifikasi skema yang mencakup detail tentang kepemilikan data, definisi tingkat keamanan yang sesuai, dan persyaratan penyimpanan dan penghancuran data

7. Verifikasi model arsitektur untuk konsistensi dan akurasi internal dan lakukan analisis kesenjangan antara baseline dan target. Prioritaskan kesenjangan dan tentukan komponen baru atau yang dimodifikasi yang harus dikembangkan untuk arsitektur target. Selesaikan dampak potensial seperti ketidakcocokan, inkonsistensi, atau konflik dalam arsitektur yang dibayangkan

8. Melakukan tinjauan pemangku kepentingan formal dengan memeriksa arsitektur yang diusulkan terhadap motivasi asli untuk proyek arsitektur dan pernyataan pekerjaan arsitektur.

9. Menyelesaikan bisnis, informasi, data, aplikasi dan arsitektur domain teknologi, dan membuat dokumen definisi arsitektur.

APO03.03 Select opportunities and solutions

Rasionalkan kesenjangan antara arsitektur dasar dan target, dengan mengambil perspektif bisnis dan teknis, dan secara logis mengelompokkannya ke dalam paket pekerjaan proyek. Integrasikan proyek dengan program investasi terkait TI untuk memastikan bahwa prakarsa arsitektur selaras dengan dan memungkinkan prakarsa ini sebagai bagian dari perubahan perusahaan secara keseluruhan. Jadikan ini sebagai upaya kolaboratif dengan pemangku kepentingan utama perusahaan dari bisnis dan TI untuk menilai kesiapan transformasi perusahaan, dan mengidentifikasi peluang, solusi, dan semua kendala implementasi.

Inputs :

• APO02.03 : Proposed enterprise architecture changes

• Outside COBIT : Enterprise strategies & Enterprise drivers

Outputs :

• High-level implementation and migration strategy : APO02.05

• Transition architectures : APO02.05

Activities :

1. Tentukan dan konfirmasi atribut perubahan perusahaan utama, termasuk budaya perusahaan dan bagaimana hal ini akan berdampak pada implementasi arsitektur perusahaan, serta kemampuan transisi perusahaan.

2. Identifikasi driver perusahaan yang akan membatasi urutan implementasi, termasuk tinjauan perusahaan dan rencana strategis dan bisnis lini bisnis, dan pertimbangan kematangan arsitektur perusahaan saat ini

3. Meninjau dan mengkonsolidasikan hasil analisis kesenjangan antara arsitektur dasar dan target dan menilai implikasinya sehubungan dengan solusi/peluang potensial, saling ketergantungan dan keselarasan dengan program yang mendukung TI saat ini.

4. Menilai persyaratan, kesenjangan, solusi, dan faktor untuk mengidentifikasi satu set minimal persyaratan fungsional yang integrasinya ke dalam paket kerja akan mengarah pada implementasi arsitektur target yang lebih efisien dan efektif

5. Rekonsiliasi persyaratan terkonsolidasi dengan solusi potensial

6. Perbaiki dependensi awal, pastikan bahwa setiap kendala pada implementasi dan rencana migrasi diidentifikasi, dan konsolidasikan ke dalam laporan analisis dependensi.

7. Konfirmasi kesiapan perusahaan untuk, dan risiko yang terkait dengan, transformasi perusahaan

8. Merumuskan implementasi tingkat tinggi dan strategi migrasi yang akan memandu implementasi arsitektur target dan menyusun arsitektur transisi sejalan dengan tujuan strategis perusahaan dan skala waktu.

9. Mengidentifikasi dan mengelompokkan paket kerja utama ke dalam serangkaian program dan proyek yang koheren, dengan menghormati arah dan pendekatan implementasi strategis perusahaan.

10. Kembangkan serangkaian arsitektur transisi seperlunya di mana ruang lingkup perubahan yang diperlukan untuk mewujudkan arsitektur target memerlukan pendekatan inkremental

APO03.04 Define architecture implementation

Buat implementasi yang layak dan rencana migrasi yang selaras dengan program dan portofolio proyek. Pastikan bahwa rencana tersebut dikoordinasikan dengan erat untuk memastikan bahwa nilai disampaikan dan sumber daya yang diperlukan tersedia untuk menyelesaikan pekerjaan yang diperlukan.

Outputs :

• Resource requirements : BAI01.02

• Implementation phase descriptions : BAI01.01 & BAI01.02

• Architecture governance requirements : BAI01.01

Activities :

1. Tetapkan apa yang harus disertakan dalam rencana implementasi dan migrasi sebagai bagian dari perencanaan program dan proyek dan pastikan bahwa itu selaras dengan persyaratan pembuat keputusan yang berlaku.

2. Konfirmasikan peningkatan dan fase arsitektur transisi dan perbarui dokumen definisi arsitektur.

3. Tentukan persyaratan tata kelola implementasi arsitektur.

APO03.05 Provide enterprise architecture services

Penyediaan layanan arsitektur perusahaan dalam perusahaan mencakup panduan dan pemantauan proyek implementasi, memformalkan cara kerja melalui kontrak arsitektur, dan mengukur dan mengomunikasikan nilai tambah arsitektur dan pemantauan kepatuhan.

Outputs :

• Solution development guidance : BAI02.01 & BAI02.02 & BAI03.02

Activities :

1. Konfirmasikan cakupan dan prioritas dan berikan panduan untuk pengembangan dan penerapan solusi.

2. Kelola portofolio layanan arsitektur perusahaan untuk memastikan keselarasan dengan tujuan strategis dan pengembangan solusi.

3. Kelola persyaratan dan dukungan arsitektur perusahaan dengan prinsip arsitektur, model, dan blok bangunan

4. Mengidentifikasi dan menyelaraskan prioritas arsitektur perusahaan dengan penggerak nilai. Tentukan dan kumpulkan metrik nilai dan ukur serta komunikasikan nilai arsitektur perusahaan.

5. Membentuk forum teknologi untuk memberikan pedoman arsitektur, saran proyek dan panduan pemilihan teknologi. Ukur kepatuhan terhadap standar dan pedoman ini, termasuk kepatuhan terhadap persyaratan eksternal dan relevansi bisnisnya

Related Guidances

• TOGAF 9 : At the core of TOGAF is the Architecture Development Method (ADM), which maps to the COBIT 5 practices of developing an architecture vision (ADM Phase A), defining reference architectures (ADM Phases B,C,D), selecting opportunities and solutions (ADM Phase E), and defining architecture implementation (ADM Phases F, G). A number of TOGAF components map to the COBIT 5 practice of providing enterprise architecture services. These include ADM Requirements Management, Architecture Principles, Stakeholder Management, Business Transformation Readiness Assessment, Risk Management, Capability-Based Planning, Architecture Compliance and Architecture Contracts.

APO05 - Manage portfolio

Jalankan arahan strategis yang ditetapkan untuk investasi sejalan dengan visi arsitektur perusahaan dan karakteristik yang diinginkan dari investasi dan portofolio layanan terkait, dan pertimbangkan berbagai kategori investasi dan sumber daya serta kendala pendanaan. Mengevaluasi, memprioritaskan dan menyeimbangkan program dan layanan, mengelola permintaan dalam batasan sumber daya dan pendanaan, berdasarkan keselarasannya dengan tujuan strategis, nilai perusahaan, dan risiko. Pindahkan program yang dipilih ke dalam portofolio layanan aktif untuk dieksekusi. Memantau kinerja keseluruhan portofolio layanan dan program, mengusulkan penyesuaian yang diperlukan sebagai tanggapan terhadap kinerja program dan layanan atau mengubah prioritas perusahaan. Tujuan dari APO05 adalah untuk mengoptimalkan kinerja keseluruhan portofolio program dalam menanggapi kinerja program dan layanan serta mengubah prioritas dan tuntutan perusahaan.

IT-Related Goals

• Penyelarasan TI dan strategi bisnis

• Realisasi manfaat dari investasi dan portofolio layanan yang mendukung TI

• Penyampaian program yang memberikan manfaat, tepat waktu, sesuai anggaran, dan memenuhi persyaratan dan standar kualitas

Process Goals

• Bauran investasi yang tepat ditentukan dan diselaraskan dengan strategi perusahaan

• Sumber pendanaan investasi diidentifikasi dan tersedia

• Kasus bisnis program dievaluasi dan diprioritaskan sebelum dana dialokasikan

• Ada pandangan yang komprehensif dan akurat tentang kinerja portofolio investasi

• Perubahan program investasi tercermin dalam layanan TI, aset, dan portofolio sumber daya yang relevan

• Manfaat telah terwujud karena pemantauan manfaat

APO05.01 Establish the target investment mix

Tinjau dan pastikan kejelasan strategi perusahaan dan TI serta layanan saat ini. Tentukan campuran investasi yang tepat berdasarkan biaya, keselarasan dengan strategi, dan ukuran keuangan seperti biaya dan ROI yang diharapkan selama siklus hidup ekonomi penuh, tingkat risiko, dan jenis manfaat untuk program dalam portofolio. Sesuaikan strategi perusahaan dan TI jika diperlukan.

INPUT :

• Jenis dan kriteria investasi

• Peta jalan strategis

• Inisiatif penilaian risiko

• Definisi inisiatif strategis

• Prioritas dan peringkat inisiatif TI

• Definisi layanan standar

• Definisi layanan

OUTPUT :

• Bauran investasi yang pasti

• Mengidentifikasi sumber daya dan kemampuan yang diperlukan untuk mendukung strategi

• Umpan balik tentang strategi dan tujuan

Aktivitas :

1. Memvalidasi bahwa investasi yang mendukung TI dan layanan TI saat ini selaras dengan visi perusahaan, prinsip perusahaan, tujuan dan sasaran strategis, visi arsitektur perusahaan, dan prioritas.

2. Dapatkan pemahaman yang sama antara TI dan fungsi bisnis lainnya tentang peluang potensial bagi TI untuk mendorong dan mendukung strategi perusahaan.

3. Ciptakan campuran investasi yang mencapai keseimbangan yang tepat di antara sejumlah dimensi, termasuk keseimbangan pengembalian jangka pendek dan jangka panjang yang tepat, manfaat finansial dan non-finansial, serta investasi berisiko tinggi dan rendah.

4. Identifikasi kategori luas sistem informasi, aplikasi, data, layanan TI, infrastruktur, aset TI, sumber daya, keterampilan, praktik, kontrol, dan hubungan yang diperlukan untuk mendukung strategi perusahaan.

5. Menyetujui strategi dan tujuan TI, dengan mempertimbangkan hubungan timbal balik antara strategi perusahaan dan layanan TI, aset, dan sumber daya lainnya. Mengidentifikasi dan memanfaatkan sinergi yang dapat dicapai.

APO05.02 Determine the availability and sources of funds

Menentukan sumber dana potensial, pilihan pendanaan yang berbeda dan implikasi sumber pendanaan terhadap ekspektasi pengembalian investasi.

INPUT : -

OUTPUT :

• Opsi pendanaan

• Ekspektasi pengembalian investasi

Aktivitas :

1. Pahami ketersediaan dan komitmen dana saat ini, pengeluaran yang disetujui saat ini, dan jumlah aktual yang dibelanjakan hingga saat ini.

2. Identifikasi opsi untuk memperoleh dana tambahan untuk investasi yang mendukung TI, secara internal dan dari sumber eksternal.

3. Menentukan implikasi sumber pendanaan terhadap ekspektasi pengembalian investasi.

APO05.03 Evaluate and select programmes to fund

Berdasarkan persyaratan bauran portofolio investasi secara keseluruhan, evaluasi dan prioritaskan kasus bisnis program, dan putuskan proposal investasi. Mengalokasikan dana dan memulai program.

INPUT :

• Evaluasi portofolio investasi dan jasa

• Evaluasi keselarasan strategis

• Jenis dan kriteria investasi

• Kasus bisnis konsep arsitektur dan proposisi nilai

• Ruang lingkup pembuktian konsep dan garis besar kasus bisnis

• Alokasi anggaran

• Komunikasi anggaran

• Anggaran dan rencana TI

• Kesenjangan yang teridentifikasi dalam layanan TI untuk bisnis

• SLA

• Rencana realisasi manfaat program

• Mandat dan ringkasan program

• Kasus bisnis konsep program

OUTPUT :

• Program kasus bisnis

• Penilaian kasus bisnis

• Program terpilih dengan pencapaian laba atas investasi (ROI)

Aktivitas :

1. Mengenali peluang investasi dan mengklasifikasikannya sesuai dengan kategori portofolio investasi. Tentukan hasil perusahaan yang diharapkan, semua inisiatif yang diperlukan untuk mencapai hasil yang diharapkan, biaya, ketergantungan dan risiko, dan bagaimana semua akan diukur.

2. Lakukan penilaian rinci dari semua kasus bisnis program, evaluasi keselarasan strategis, manfaat perusahaan, risiko dan ketersediaan sumber daya.

3. Menilai dampak pada keseluruhan portofolio investasi dari penambahan program kandidat, termasuk perubahan apa pun yang mungkin diperlukan untuk program lain.

4. Putuskan program kandidat mana yang harus dipindahkan ke portofolio investasi aktif. Putuskan apakah program yang ditolak harus diadakan untuk pertimbangan di masa mendatang atau diberikan dana awal untuk menentukan apakah kasus bisnis dapat diperbaiki atau dibuang.

5. Tentukan pencapaian yang diperlukan untuk siklus hidup ekonomi penuh setiap program yang dipilih. Mengalokasikan dan mencadangkan total dana program per milestone. Pindahkan program ke dalam portofolio investasi aktif.

6. Tetapkan prosedur untuk mengomunikasikan aspek-aspek yang terkait dengan biaya, manfaat, dan risiko dari portofolio ini ke proses prioritas anggaran, manajemen biaya, dan manajemen manfaat.

APO05.04 Monitor, optimise and report on investment portfolio performance

Secara teratur, pantau dan optimalkan kinerja portofolio investasi dan program individu di seluruh siklus hidup investasi.

INPUT :

• Evaluasi portofolio investasi dan jasa

• Portofolio investasi

• Tindakan untuk meningkatkan penyampaian nilai

• Umpan balik tentang kinerja portofolio dan program

• Evaluasi manfaat inovasi

• Hasil tinjauan stage-gate

OUTPUT :

• Laporan kinerja portofolio investasi

Aktivitas :

1. Tinjau portofolio secara teratur untuk mengidentifikasi dan memanfaatkan sinergi, menghilangkan duplikasi antar program, dan mengidentifikasi dan mengurangi risiko.

2. Ketika terjadi perubahan, evaluasi ulang dan prioritaskan kembali portofolio untuk memastikan bahwa portofolio selaras dengan strategi bisnis dan bauran target investasi dipertahankan sehingga portofolio mengoptimalkan nilai keseluruhan. Ini mungkin memerlukan program untuk diubah, ditangguhkan atau dihentikan, dan program baru dimulai.

3. Sesuaikan target perusahaan, prakiraan, anggaran dan, jika diperlukan, tingkat pemantauan untuk mencerminkan pengeluaran yang akan dikeluarkan dan manfaat perusahaan yang akan direalisasikan oleh program dalam portofolio investasi aktif. Memasukkan pengeluaran program ke dalam mekanisme tolak bayar.

4. Memberikan gambaran yang akurat tentang kinerja portofolio investasi kepada semua pemangku kepentingan.

5. Memberikan laporan manajemen untuk tinjauan manajemen senior tentang kemajuan perusahaan menuju tujuan yang diidentifikasi, menyatakan apa yang masih perlu dihabiskan dan dicapai selama kerangka waktu apa.

6. Sertakan dalam informasi pemantauan kinerja reguler tentang sejauh mana tujuan yang direncanakan telah tercapai, risiko yang dimitigasi, kemampuan yang diciptakan, hasil yang diperoleh dan target kinerja terpenuhi.

7. Identifikasi penyimpangan untuk:

• Kontrol anggaran antara aktual dan anggaran

• Manajemen manfaat dari :

– Target aktual vs. investasi untuk solusi, mungkin dinyatakan dalam ROI, NPV, atau tingkat pengembalian internal (IRR)

– Tren aktual biaya portofolio layanan untuk peningkatan produktivitas penyampaian layanan

8. Kembangkan matriks untuk mengukur kontribusi TI bagi perusahaan, dan tetapkan target kinerja yang sesuai yang mencerminkan target kemampuan TI dan perusahaan yang diperlukan. Gunakan panduan dari pakar eksternal dan data benchmark untuk mengembangkan matriks.

APO05.05 Maintain portfolios

Menjaga portofolio program dan proyek investasi, layanan TI, dan aset TI.

INPUT :

• Komunikasi pensiun program dan akuntabilitas berkelanjutan

• Portofolio layanan yang diperbarui

OUTPUT :

• Portofolio program, layanan, dan aset yang diperbarui

Aktivitas :

1. Membuat dan memelihara portofolio program investasi yang mendukung TI, layanan TI, dan aset TI, yang menjadi dasar anggaran TI saat ini dan mendukung rencana taktis dan strategis TI.

2. Bekerja dengan manajer pengiriman layanan untuk mempertahankan portofolio layanan dan dengan manajer operasi dan arsitek untuk mempertahankan portofolio aset. Prioritaskan portofolio untuk mendukung keputusan investasi.

3. Hapus program dari portofolio investasi aktif ketika manfaat perusahaan yang diinginkan telah tercapai atau ketika jelas bahwa manfaat tidak akan tercapai dalam kriteria nilai yang ditetapkan untuk program tersebut.

APO05.06 Manage benefits achievement

Memantau manfaat dari penyediaan dan pemeliharaan layanan dan kemampuan TI yang sesuai, berdasarkan kasus bisnis yang disepakati dan saat ini.

INPUT :

• Daftar anggaran dan manfaat program

• Hasil pemantauan realisasi manfaat

OUTPUT :

• Hasil manfaat dan komunikasi terkait

• Tindakan korektif untuk meningkatkan realisasi manfaat

Aktivitas :

1. Gunakan metrik yang disepakati dan lacak bagaimana manfaat dicapai, bagaimana manfaat tersebut berkembang sepanjang siklus hidup program dan proyek, bagaimana manfaat tersebut disampaikan dari layanan TI, dan bagaimana mereka dibandingkan dengan tolok ukur internal dan industri. Mengkomunikasikan hasil kepada pemangku kepentingan.

2. Menerapkan tindakan korektif ketika manfaat yang dicapai secara signifikan menyimpang dari manfaat yang diharapkan. Perbarui kasus bisnis untuk inisiatif baru dan terapkan proses bisnis dan peningkatan layanan sesuai kebutuhan.

3. Pertimbangkan untuk mendapatkan panduan dari pakar eksternal, pemimpin industri, dan data pembandingan komparatif untuk menguji dan meningkatkan metrik dan target.

APO07 - Manage human resources

Memberikan pendekatan terstruktur untuk memastikan penataan, penempatan, hak keputusan, dan keterampilan sumber daya manusia yang optimal. Ini termasuk mengkomunikasikan peran dan tanggung jawab yang ditentukan, rencana pembelajaran dan pertumbuhan, dan ekspektasi kinerja, didukung oleh orang-orang yang kompeten dan termotivasi.

Mengoptimalkan kemampuan sumber daya manusia untuk memenuhi tujuan perusahaan.

IT-related goal

Penyelarasan TI dan strategi bisnis

• Persentase sasaran dan persyaratan strategis perusahaan yang didukung oleh sasaran strategis TI

• Tingkat kepuasan stakeholder dengan cakupan portofolio program dan layanan yang direncanakan

• Persentase penggerak nilai TI yang dipetakan ke penggerak nilai bisnis

Optimalisasi aset, sumber daya, dan kemampuan TI

• Frekuensi penilaian maturitas kemampuan dan optimalisasi biaya

• Tren hasil penilaian

• Tingkat kepuasan eksekutif bisnis dan TI dengan biaya dan kemampuan terkait TI

Penyampaian program yang bermanfaat, tepat waktu, sesuai anggaran, dan memenuhi persyaratan dan standar kualitas

• Jumlah program/proyek yang tepat waktu dan sesuai anggaran

• Persentase stakeholder yang puas dengan kualitas program/proyek

• Jumlah program yang membutuhkan pengerjaan ulang yang signifikan karena cacat kualitas

• Biaya pemeliharaan aplikasi vs. keseluruhan biaya TI

Personil bisnis dan TI yang kompeten dan termotivasi

• Persentase staf yang keterampilan TI-nya memadai untuk kompetensi yang dibutuhkan untuk peran mereka

• Persentase staf yang puas dengan peran terkait TI mereka

• Jumlah jam belajar/pelatihan per anggota staf

Pengetahuan, keahlian, dan inisiatif untuk inovasi bisnis

• Tingkat kesadaran eksekutif bisnis dan pemahaman tentang kemungkinan inovasi TI

• Tingkat kepuasan stakeholder dengan tingkat keahlian dan ide inovasi TI

• Jumlah inisiatif yang disetujui yang dihasilkan dari ide-ide TI yang inovatif

Process Goal

Struktur dan hubungan organisasi TI fleksibel dan responsif

• Jumlah definisi layanan dan katalog layanan

• Tingkat kepuasan eksekutif dengan pengambilan keputusan manajemen

• Jumlah keputusan yang tidak dapat diselesaikan dalam struktur manajemen dan ditingkatkan ke struktur tata kelola

Sumber daya manusia dikelola secara efektif dan efisien

• Persentase pergantian staf

• Durasi rata-rata kosongnya jabatan

• Persentase jabatan terkait TI yang kosong

APO07.01 Maintain adequate and appropriate staffing

Mengevaluasi kebutuhan staf secara teratur atau pada perubahan besar pada perusahaan atau lingkungan operasional atau TI untuk memastikan bahwa perusahaan memiliki sumber daya manusia yang cukup untuk mendukung tujuan dan sasaran perusahaan. Kepegawaian mencakup sumber daya internal dan eksternal.

Input:

• EDM04.01: Rencana sumber daya yang disetujui, prinsip panduan untuk alokasi sumber daya dan kemampuan

• EDM04.03: Tindakan perbaikan untuk mengatasi penyimpangan pengelolaan sumber daya

• APO01.02: Definisi praktik pengawasan

• APO06.03: Komunikasi anggaran, anggaran dan rencana TI

• Diluar COBIT: Tujuan dan sasaran perusahaan, kebijakan dan prosedur SDM perusahaan

Output:

• Internal: Evaluasi kebutuhan staff, kompetensi dan rencana pengembangan karir, Rencana pengadaan personel

Aktivitas:

1. Mengevaluasi kebutuhan staf secara teratur atau pada perubahan besar untuk memastikan bahwa:

   • Fungsi TI memiliki sumber daya yang cukup untuk mendukung tujuan dan sasaran perusahaan secara memadai dan tepat

   • Perusahaan memiliki sumber daya yang cukup untuk mendukung proses bisnis dan kontrol serta inisiatif yang mendukung TI secara memadai dan tepat

2. Menjaga proses perekrutan dan retensi personel bisnis dan TI sejalan dengan kebijakan dan prosedur personel perusahaan secara keseluruhan.

3. Sertakan pemeriksaan latar belakang dalam proses rekrutmen TI untuk karyawan, kontraktor, dan vendor. Luas dan frekuensi pemeriksaan ini harus bergantung pada sensitivitas dan/atau kekritisan fungsi.

4. Menetapkan pengaturan sumber daya yang fleksibel untuk mendukung perubahan kebutuhan bisnis, seperti penggunaan transfer, kontraktor eksternal, dan pengaturan layanan pihak ketiga.

5. Pastikan bahwa pelatihan silang berlangsung dan ada cadangan staf kunci untuk mengurangi ketergantungan satu orang.

APO07.02 Identify key IT personnel

Identifikasi personil kunci TI sambil meminimalkan ketergantungan pada satu individu yang melakukan fungsi pekerjaan penting melalui penangkapan pengetahuan (dokumentasi), berbagi pengetahuan, perencanaan suksesi, dan pencadangan staf.

Output:

• Internal: daftar personil kunci

Aktivitas:

1. Minimalkan ketergantungan pada satu individu yang melakukan fungsi pekerjaan penting melalui penangkapan pengetahuan (dokumentasi), berbagi pengetahuan, perencanaan suksesi, cadangan staf, pelatihan silang, dan inisiatif rotasi pekerjaan.

2. Sebagai tindakan pencegahan keamanan, berikan pedoman tentang waktu minimum liburan tahunan yang harus diambil oleh individu-individu kunci.

3. Ambil tindakan bijaksana terkait perubahan pekerjaan, terutama pemutusan hubungan kerja.

4. Uji rencana cadangan staf secara teratur.

APO07.03 Maintain the skills and competencies of personnel

Mendefinisikan dan mengelola keterampilan dan kompetensi yang dibutuhkan personel. Secara teratur memverifikasi bahwa personel memiliki kompetensi untuk memenuhi peran mereka berdasarkan pendidikan, pelatihan dan/atau pengalaman mereka, dan memverifikasi bahwa kompetensi ini dipertahankan, menggunakan program kualifikasi dan sertifikasi jika sesuai. Memberi karyawan pembelajaran berkelanjutan dan peluang untuk mempertahankan pengetahuan, keterampilan, dan kompetensi mereka pada tingkat yang diperlukan untuk mencapai tujuan perusahaan.

Input:

• EDM01.02: Pendekatan sistem penghargaan

• EDM04.03: Tindakan perbaikan untuk mengatasi penyimpangan pengelolaan sumber daya

• BAI08.03: Repositori pengetahuan yang diterbitkan

• BAI08.04: Kesadaran pengetahuan dan skema pelatihan

• DSS04.06: Hasil pemantauan keterampilan dan kompetensi, persyaratan pelatihan

• Diluar COBIT: Tujuan dan sasaran perusahaan

Output:

• APO01.02, BAI01.02, BAI01.04: Matriks keterampilan dan kompetensi

• EDM04.01, APO01.02: Rencana pengembangan keterampilan

• Internal: Laporan ulasan

Aktivitas:

1. Tentukan keterampilan dan kompetensi yang dibutuhkan dan tersedia saat ini dari sumber daya internal dan eksternal untuk mencapai tujuan perusahaan, TI, dan proses.

2. Menyediakan perencanaan karir formal dan pengembangan profesional untuk mendorong pengembangan kompetensi, kesempatan untuk kemajuan pribadi dan mengurangi ketergantungan pada individu kunci.

3. Menyediakan akses ke gudang pengetahuan untuk mendukung pengembangan keterampilan dan kompetensi.

4. Identifikasi kesenjangan antara keterampilan yang dibutuhkan dan yang tersedia dan kembangkan rencana tindakan untuk mengatasinya secara individu dan kolektif, seperti pelatihan (keterampilan teknis dan perilaku), rekrutmen, pemindahan, dan strategi sumber yang diubah.

5. Mengembangkan dan menyampaikan program pelatihan berdasarkan persyaratan organisasi dan proses, termasuk persyaratan untuk pengetahuan perusahaan, pengendalian internal, perilaku etis, dan keamanan.

6. Melakukan tinjauan rutin untuk menilai evolusi keterampilan dan kompetensi sumber daya internal dan eksternal. Tinjau perencanaan suksesi.

7. Meninjau materi dan program pelatihan secara teratur untuk memastikan kecukupan sehubungan dengan perubahan persyaratan perusahaan dan dampaknya terhadap pengetahuan, keterampilan dan kemampuan yang diperlukan.

APO07.04 Evaluate employee job performance

Lakukan evaluasi kinerja tepat waktu secara teratur terhadap tujuan individu yang berasal dari tujuan perusahaan, standar yang ditetapkan, tanggung jawab pekerjaan tertentu, dan kerangka keterampilan dan kompetensi. Karyawan harus menerima pembinaan tentang kinerja dan perilaku bila diperlukan.

Input:

• EDM01.02: Pendekatan sistem penghargaan

• APO04.01: Program pengakuan dan penghargaan

• BAI05.04: Tujuan kinerja SDM yang selaras

• BAI05.06: Hasil tinjauan kinerja SDM

• DSS06.03: Hak akses yang dialokasikan

• Diluar COBIT: Tujuan dan sasaran perusahaan

Output:

• Internal: Tujuan personel, evaluasi kinerja, rencana perbaikan

Aktivitas:

1. Pertimbangkan tujuan fungsional/perusahaan sebagai konteks untuk menetapkan tujuan individu.

2. Tetapkan tujuan individu yang selaras dengan tujuan proses yang relevan sehingga ada kontribusi yang jelas untuk tujuan TI dan perusahaan. Dasarkan tujuan pada tujuan SMART (specific, measurable, achievable, relevant and time-bound) yang mencerminkan kompetensi inti, nilai perusahaan, dan keterampilan yang dibutuhkan untuk peran tersebut.

3. Kompilasi hasil evaluasi kinerja 360 derajat.

4. Menerapkan dan mengkomunikasikan proses disiplin.

5. Memberikan instruksi khusus untuk penggunaan dan penyimpanan informasi pribadi dalam proses evaluasi, sesuai dengan data pribadi dan undang-undang ketenagakerjaan yang berlaku.

6. Memberikan feedback yang tepat waktu mengenai kinerja terhadap tujuan individu.

7. Menerapkan proses remunerasi/pengakuan yang menghargai komitmen yang tepat, pengembangan kompetensi, dan pencapaian tujuan kinerja yang berhasil. Memastikan bahwa proses diterapkan secara konsisten dan sejalan dengan kebijakan organisasi.

8. Mengembangkan rencana peningkatan kinerja berdasarkan hasil proses evaluasi dan persyaratan pelatihan dan pengembangan keterampilan yang teridentifikasi.

APO07.05 Plan and track the usage of IT and business human resources

Memahami dan melacak permintaan saat ini dan masa depan untuk bisnis dan sumber daya manusia TI dengan tanggung jawab untuk TI perusahaan. Identifikasi kekurangan dan berikan masukan ke dalam rencana pengadaan, rencana pengadaan proses perekrutan perusahaan dan TI, serta proses perekrutan bisnis dan TI.

Input:

• EDM04.02: Komunikasi strategi sumber daya

• EDM04.03: Umpan balik tentang alokasi dan efektivitas sumber daya dan kemampuan

• APO06.02: Alokasi anggaran

• BAI01.04: Persyaratan dan peran sumber daya

• BAI01.12: Persyaratan sumber daya proyek

• Diluar COBIT: Struktur organisasi perusahaan

Output:

• BAI01.04: Inventarisasi sumber daya manusia bisnis dan TI

• BAI01.06: Analisis kekurangan sumber daya, catatan pemanfaatan sumber daya

Aktivitas:

1. Membuat dan memelihara inventaris sumber daya manusia bisnis dan TI.

2. Memahami permintaan sumber daya manusia saat ini dan di masa depan untuk mendukung pencapaian tujuan TI dan untuk memberikan layanan dan solusi berdasarkan portofolio inisiatif terkait TI saat ini, portofolio investasi masa depan, dan kebutuhan operasional sehari-hari.

3. Identifikasi kekurangan dan berikan masukan ke dalam rencana pengadaan serta proses perekrutan perusahaan dan TI. Buat dan tinjau rencana kepegawaian, lacak penggunaan aktual.

4. Pertahankan informasi yang memadai tentang waktu yang dihabiskan untuk berbagai tugas, penugasan, layanan, atau proyek.

APO07.06 Manage contract staff

Pastikan bahwa konsultan dan personel kontrak yang mendukung perusahaan dengan keterampilan TI mengetahui dan mematuhi kebijakan organisasi dan memenuhi persyaratan kontrak yang disepakati.

Input:

• BAI01.04: Persyaratan dan peran sumber daya

• BAI01.12: Persyaratan sumber daya proyek

• BAI01.14: Komunikasi penghentian program dan akuntabilitas berkelanjutan

Output:

• Internal: Kebijakan staf kontrak, perjanjian kontrak, tinjauan perjanjian kontrak

Aktivitas:

1. Menerapkan kebijakan dan prosedur yang menjelaskan kapan, bagaimana, dan jenis pekerjaan apa yang dapat dilakukan atau ditambah oleh konsultan dan/atau kontraktor, sesuai dengan kebijakan pengadaan TI di seluruh perusahaan organisasi dan kerangka kerja pengendalian TI.

2. Mendapatkan persetujuan formal dari kontraktor pada awal kontrak bahwa mereka diharuskan untuk mematuhi kerangka kerja kontrol TI perusahaan, seperti kebijakan untuk izin keamanan, kontrol akses fisik dan logis, penggunaan fasilitas, persyaratan kerahasiaan informasi, dan perjanjian non-pengungkapan.

3. Beri tahu kontraktor bahwa manajemen berhak untuk memantau dan memeriksa semua penggunaan sumber daya TI, termasuk email, komunikasi suara, dan semua program dan file data.

4. Memberi kontraktor definisi yang jelas tentang peran dan tanggung jawab mereka sebagai bagian dari kontrak mereka, termasuk persyaratan eksplisit untuk mendokumentasikan pekerjaan mereka sesuai standar dan format yang disepakati.

5. Tinjau pekerjaan kontraktor dan dasarkan persetujuan pembayaran pada hasilnya.

6. Tetapkan semua pekerjaan yang dilakukan oleh pihak eksternal dalam kontrak formal dan tidak ambigu.

7. Melakukan tinjauan berkala untuk memastikan bahwa staf kontrak telah menandatangani dan menyetujui semua perjanjian yang diperlukan.

8. Melakukan tinjauan berkala untuk memastikan bahwa peran dan hak akses kontraktor sesuai dan sejalan dengan kesepakatan.

Referensi framework lain:

• ISO/IEC 27002

• SFIA

APO09 - Manage service agreement

Menyelaraskan layanan yang didukung TI dan tingkatannya dengan kebutuhan dan harapan perusahaan, termasuk identifikasi, spesifikasi, desain, penerbitan, perjanjian, dan pemantauan layanan TI, tingkat layanan, dan indikator kinerja.

Pastikan bahwa layanan TI dan tingkat layanan memenuhi kebutuhan perusahaan saat ini dan masa depan.

IT-related goal

Pemberian layanan TI sesuai dengan kebutuhan bisnis

• Jumlah gangguan bisnis karena insiden layanan TI

• Persentase stakeholder bisnis yang puas karena penyampaian layanan TI memenuhi tingkat layanan yang disepakati

• Persentase pengguna yang puas dengan kualitas penyampaian layanan TI

Ketersediaan informasi yang andal dan berguna untuk pengambilan keputusan

• Tingkat kepuasan pengguna bisnis dengan kualitas dan ketepatan waktu (atau ketersediaan) informasi manajemen

• Jumlah insiden proses bisnis yang disebabkan oleh tidak tersedianya informasi

• Rasio dan tingkat keputusan bisnis yang salah di mana informasi yang salah atau tidak tersedia merupakan faktor kunci

Process goal

Perusahaan dapat secara efektif memanfaatkan layanan TI seperti yang didefinisikan dalam katalog

• Jumlah proses bisnis dengan perjanjian layanan yang tidak ditentukan

Perjanjian layanan mencerminkan kebutuhan perusahaan dan kemampuan TI

• Persentase layanan TI langsung yang tercakup dalam perjanjian layanan, persen pelanggan yang puas bahwa penyampaian layanan memenuhi tingkat yang disepakati

Layanan TI melakukan sebagaimana diatur dalam perjanjian layanan

• Jumlah dan tingkat keparahan pelanggaran layanan, persentase layanan yang dipantau ke tingkat layanan, persentase target layanan terpenuhi

APO12.01 Collect Data

Identifikasi dan kumpulkan data yang relevan sehingga Anda dapat secara efektif mengidentifikasi, menganalisis, dan melaporkan risiko terkait I & T.

APO12.02 Analyze Risk

Menciptakan pandangan yang kuat tentang risiko I & T aktual untuk membantu dalam penentuan risiko.

APO12.03 Maintain a Risk Profile

Menyimpan inventaris risiko yang diketahui dan atribut risiko, termasuk frekuensi yang diharapkan, dampak potensial, dan respons. Dokumentasikan sumber daya, keterampilan, dan aktivitas manajemen terkini yang terkait dengan paparan.

APO12.04 Articulate Risk

Memberikan informasi yang tepat waktu kepada semua pemangku kepentingan yang diperlukan untuk menanggapi dengan tepat status terkini dari risiko dan peluang terkait I & T.

APO12.05 Define a Risk Management Action Portfolio

Mengelola peluang untuk mengurangi risiko portofolio ke tingkat yang dapat diterima.

APO12.06 Respond to Risk

Mengambil langkah-langkah efektif untuk membatasi jumlah kerusakan dan menanggapi peristiwa risiko yang terjadi pada waktu yang tepat

APO13 - Manage Security

Deskripsi proses: Mendefinisikan, mengoperasikan dan memantau sistem manajemen keamanan informasi.

Tujuan: Mencegah terjadinya insiden keamanan informasi dalam tingkat risiko perusahaan.

APO13.01 Establish and Maintain an Information Security Management System (ISMS)

• Membangun dan memelihara sistem manajemen keamanan informasi (ISMS)

• Manajemen keamanan informasi yang formal dan berkelanjutan

• Memutuskan teknologi yang aman dan proses bisnis yang selaras dengan kebutuhan bisnis.

APO13.02 Define and Manage an Information Security and Privacy Risk Treatment Plan

• Mempertahankan rencana keamanan informasi yang menjelaskan bagaimana risiko keamanan informasi dikelola dan diselaraskan dengan strategi perusahaan dan arsitektur perusahaan

• Memastikan bahwa rekomendasi untuk menerapkan peningkatan keamanan didasarkan pada kasus bisnis yang disetujui, diimplementasikan sebagai bagian integral dari pengembangan layanan dan solusi, dan dioperasikan sebagai bagian integral dari operasi bisnis.

APO13.03 Monitor and Review The Information Security Management System (ISMS)

• Memelihara dan secara teratur mengkomunikasikan kebutuhan, dan manfaat, peningkatan berkelanjutan dalam keamanan informasi

• Mengumpulkan dan menganalisis data tentang sistem manajemen keamanan informasi (ISMS), dan meningkatkan efektivitasnya

• Perbaiki ketidaksesuaian untuk mencegah terulangnya kembali.