IT Governance bukan bidang yang terpisah dari pengelolaan organisasi, melainkan merupakan komponen dari pengelolaan organisasi secara keseluruhan, dengan tanggung jawab utama yang memastikan kepentingan stakeholder diikutsertakan dalam penyusunan strategi organisasi, memberikan arahan kepada proses-proses yang menerapkan strategi organisasi, memastikan proses-proses tersebut menghasilkan keluaran yang terukur, memastikan adanya informasi mengenai hasil yang diperoleh dan memastikan keluaran yang dihasilkan sesuai dengan yang diharapkan. Penerapan TI di suatu perusahaan tidak selamanya selaras dengan strategi dan tujuan organisasi. Untuk itu perlu dilakukan analisis terhadap infrastruktur dan Pengelolaan TI yang ada agar dapat selalu dipastikan kesesuaian infrastruktur dan pengelolaan yang ada dengan tujuan organisasi.
Analisis yang dilakukan haruslah berdasarkan standar yang umum dan diakui secara luas. Ada beberapa standar yang telah mendapat pengakuan secara luas, antara lain ITIL, ISO/IEC 17799, COSO dan COBIT.
Dengan menggunakan standar-standar tersebut, maka tujuan penerapan TI di sebuah perusahaan akan sesuai dengan tujuan yang diharapkan dan menghindarkan dari terjadinya kerugian akibat risiko-risiko penerapan yang tidak terpetakan.
IT Governance
Penerapan TI di perusahaan akan dapat dilakukan dengan baik apabila ditunjang dengan suatu pengelolaan TI (IT Governance) dari mulai perencanaan sampai implementasinya. Definisi IT Governance menurut ITGI adalah: “Suatu bagian terintegrasi dari kepengurusan perusahaan serta mencakup kepemimpinan dan struktur serta proses organisasi yang memastikan bahwa TI perusahaan mempertahankan dan memperluas strategi dan tujuan organisasi.”
Kegunaan
IT Governance adalah untuk mengatur penggunaan TI, dan memastikan
performa TI sesuai dengan tujuan berikut ini :
- Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari penerapan TI.
- Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan memaksimalkan keuntungan.
- Penggunaan sumber daya TI yang bertanggung jawab.
- Penanganan manajemen risiko yang terkait TI secara tepat.
Alasan terpenting mengapa IT governance
penting adalah bahwa ekspektasi dan realitas sering kali tidak
sesuai. Shareholder perusahaan selalu berharap tentang perusahaan untuk :
- Memberikan solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.
- Menguasai dan menggunakan TI untuk mendatangkan keuntungan.
- Menerapkan TI untuk meningkatkan efisiensi dan produktifitas sambil menangani risiko TI.
IT governance yang tidak efektif akan menjadi awal terjadinya
pengalaman buruk yang dihadapi perusahaan seperti:
- Kerugian bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.
- Tenggat waktu yang terlampaui, biaya lebih tinggi dari yang diperkirakan, dan kualitas lebih rendah dari yang telah diantisipasi.
- Efisiensi dan proses inti perusahaan terpengaruh secara negatif oleh rendahnya kualitas penggunaan TI.
- Kegagalan inisiatif TI untuk melahirkan inovasi atau memberikan keuntungan yang dijanjikan.
Dalam studi ITGI mengenai Status Global
Penguasaan IT, ada 10 masalah besar di bidang TI yang dialami oleh para CEO dan
CIO, yaitu
- Kurangnya pandangan mengenai seberapa baik TI berfungsi.
- Kegagalan operasional TI.
- Masalah penempatan karyawan bidang TI.
Kegunaan
TI Governance adalah untuk mengatur penggunaan TI, dan memastikan
performa TI sesuai dengan tujuan berikut ini :
1. Keselarasan TI dengan perusahaan dan
realisasi keuntungan-keuntungan yang dijanjikan dari penerapan TI.
2. Penggunaan TI agar memungkinkan perusahaan
mengekploitasi kesempatan yang ada dan memaksimalkan keuntungan.
3. Penggunaan sumber daya TI yang bertanggung
jawab.
4. Penanganan manajemen risiko yang terkait
TI secara tepat.
Alasan terpenting mengapa IT governance
penting adalah bahwa ekspektasi dan realitas sering kali tidak
sesuai. Shareholder perusahaan selalu berharap perusahaan untuk :
1. Memberikan
solusi TI dengan kualitas yang bagus, tepat waktu, dan sesuai dengan anggaran.
2. Menguasai dan menggunakan TI untuk
mendatangkan keuntungan.
3. Menerapkan TI untuk meningkatkan efisiensi
dan produktifitas sambil menangani risiko TI.
IT governance yang tidak efektif akan menjadi awal terjadinya
pengalaman buruk yang dihadapi perusahaan, seperti:
1.
Kerugian
bisnis, berkurangnya reputasi, dan melemahnya posisi kompetisi.
2. Tenggat waktu yang terlampaui, biaya lebih
tinggi dari yang diperkirakan, dan kualitas lebih rendah dari yang telah
diantisipasi.
3. Efisiensi dan proses inti perusahaan
terpengaruh secara negatif oleh rendahnya kualitas penggunaan TI.
4. Kegagalan inisiatif TI untuk melahirkan
inovasi atau memberikan keuntungan yang dijanjikan.
Dalam studi ITGI mengenai Status Global
Penguasaan IT, ada 10 masalah besar di bidang TI yang dialami oleh para CEO dan
CIO, yaitu
1. Kurangnya pandangan mengenai seberapa baik
TI berfungsi.
2.
Kegagalan operasional TI.
3. Masalah penempatan karyawan bidang TI.
4. Jumlah masalah dan kejadian dalam
TI.
5. Biaya TI yang tinggi dengan perolehan
kembali modal (ROI) yang rendah.
6. Kurangnya pengetahuan mengenai sistem
penting.
7.
Kurangnya kemampuan mengelola data.
8. Pemutusan hubungan antara strategi TI dan
bisnis.
9. Ketergantungan pada entitas di luar
pengawasan langsung.
10. Jumlah kesalahan yang disebabkan oleh sistem penting.
11. Jumlah masalah dan kejadian dalam TI.
Marios Damianides, ketua internasional
ITGI menyatakan, "Hasil-hasil ini menunjukkan kesenjangan antara masalah
TI dan pendahuluan rencana aksi untuk memusatkan perhatian pada masalah
tersebut".
Penggunaan standar IT Governance
mempunyai keuntungan-keuntungan sebagai berikut:
- The Wheel Exists – penggunaan standar yang sudah ada dan mature akan sangat efisien. Perusahaan tidak perlu mengembangkan sendiri framework dengan mengandalkan pengalamannya sendiri yang tentunya sangat terbatas.
- Structured – standar-standar yang baik menyediakan suatu framework yang sangat terstruktur yang dapat dengan mudah difahami dan diikuti oleh manajemen. Lebih lanjut lagi, framework yang terstruktur dengan baik akan memberikan setiap orang pandangan yang relatif sama.
- Best Practices – standar-standar tersebut telah dikembangkan dalam jangka waktu yang relatif lama dan melibatkan ratusan orang dan organisasi di seluruh dunia. Pengalaman yang direfleksikan dalam model-model pengelolaan yang ada tidak dapat dibandingkan dengan suatu usaha dari satu perusahaan tertentu.
- Knowledge Sharing – dengan mengikuti standar yang umum, manajemen akan dapat berbagi ide dan pengalaman antar organisasi melalui user groups, website, majalah, buku, dan media informasi lainnya.
- Auditable – tanpa standar baku, akan sangat sulit bagi auditor, terutama auditor dari pihak ketiga, untuk melakukan kontrol secara efektif. Dengan adanya standar, maka baik manajemen maupun auditor mempunyai dasar yang sama dalam melakukan pengelolaan TI dan pengukurannya.
Model Standar IT Governance
Ada berbagai standar model IT Governance yang
banyak digunakan saat ini, antara lain:
- ITIL (The IT Infrastructure Library)
- ISO/IEC 17799 (The International Organization for Standardization / The International Electrotechnical Commission)
- COSO (Committee of Sponsoring Organization of the Treadway Commission)
- COBIT (Control Objectives for Information and related Technology)
1.
ITIL
– The IT Infrastructure Library
ITIL dikembangkan oleh The Office of
Government Commerce (OGC) suatu badan dibawah pemerintah Inggris, dengan
bekerja sama dengan The IT Service Management Forum (itSMF) – suatu
organisasi independen mengenai manajemen pelayanan TI – dan British Standard
Institute (BSI) – suatu badan penetapan standar pemerintah Inggris.
ITIL merupakan suatu framework pengelolaan
layanan TI (IT Service Management – ITSM) yang sudah diadopsi sebagai
standar industri pengembangan industri perangkat lunak di dunia.
ITIL framework terdiri dari dua
bagian utama, yaitu:
1.
Service Support
a.
Service Desk.
b.
Incident Management.
c.
Problem Management.
d.
Configuration Management.
e.
Change Management.
f.
Release Management.
2.
Service Delivery
a.
Availability Management.
b.
Capacity Management.
c.
IT Service Continuity Management.
d.
Service Level Management.
e.
Financial Management for TI Services.
f.
Security Management.
Standar ITIL berfokus kepada pelayanan customer,
dan sama sekali tidak menyertakan proses penyelarasan strategi perusahaan
terhadap strategi TI yang dikembangkan.
2.
ISO/IEC
17799
ISO/IEC 17799 dikembangkan oleh The
International Organization for Standardization (ISO) dan The International
Electrotechnical Commission (IEC) dengan titel "Information Technology -
Code of Practice for Information Security Management". ISO/IEC 17799
dirilis pertama kali pada bulan desember 2000.
ISO/IEC 17799 bertujuan memperkuat 3
(tiga) element dasar keamanan informasi (1), yaitu
1. Confidentiality
– memastikan bahwa informasi hanya dapat diakses oleh yang berhak.
2.
Integrity – menjaga akurasi dan selesainya
informasi dan metode pemrosesan.
3.
Availability
– memastikan bahwa user
yang terotorisasi mendapatkan akses kepada informasi dan aset yang terhubung
dengannya ketika memerlukannya.
ISO/IEC 17799 terdiri dari 10 domain (1),
yaitu:
- Security Policy – memberikan panduan dan masukan pengelolaan dalam meningkatkan keamanan informasi.
- Organizational Security – memfasilitasi pengelolaan keamanan informasi dalam organisasi.
- Asset Classification and Control – melakukan inventarisasi aset dan melindungi aset tersebut dengan efektif.
- Personnel Security – meminimalisasi risiko human error, pencurian, pemalsuan atau penggunaan peralatan yang tidak selayaknya.
- Physical and Environmental Security – menghindarkan violation, deterioration atau disruption dari data yang dimiliki.
- Communications and Operations Management – memastikan penggunaan yang baik dan selayaknya dari alat-alat pemroses informasi.
- Access Control – mengontrol akses informasi.
- Systems Development and Maintenance – memastikan bahwa keamanan telah terintegrasi dalam sistem informasi yang ada.
- Business Continuity Management – meminimalkan dampak dari terhentinya proses bisnis dan melindungi proses-proses perusahaan yang mendasar dari kegagalam dan kerusakan yang besar.
- Compliance – menghindarkan terjadinya tindakan pelanggaran atas hukum, kesepakatan atau kontrak, dan kebutuhan keamanan.
3.
COSO – Committee of Sponsoring Organization of
the Treadway Commission
COSO merupakan kependekan dari
Committee of Sponsoring Organization of the Treadway Commission, sebuah
organisasi di Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan
finansial mencakup etika bisnis, kontrol internal dan corporate governance.
Komite ini didirikan pada tahun 1985 untuk mempelajari faktor-faktor yang
menunjukan ketidaksesuaian dalam laporan finansial.
1.
Komponen kontrol COSO
COSO
mengidentifikasi 5 komponen kontrol yang diintegrasikan dan dijalankan dalam
semua unit bisnis, dan akan membantu mencapai sasaran kontrol internal:
a.
Monitoring.
b.
Information and communications.
c.
Control activities.
d.
Risk assessment.
e.
Control environment.
2.
Sasaran kontrol internal
Sasaran kontrol internal dikategorikan menjadi beberapa area sebagai
berikut:
a. Operations – efisisensi dan efektifitas operasi dalam mencapai
sasaran bisnis yang juga meliputi tujuan performansi dan keuntungan.
b.
Financial reporting – persiapan pelaporan anggaran finansial yang dapat
dipercaya.
c.
Compliance – pemenuhan hukum dan aturan yang dapat dipercaya.
3. Unit / Aktifitas
Terhadap Organisasi
Dimensi ini mengidentifikasikan unit/aktifitas pada organisasi yang
menghubungkan kontrol internal. Kontrol internal menyangkut keseluruhan
organisasi dan semua bagian-bagiannya. Kontrol
internal seharusnya diimplementasikan terhadap unit-unit dan aktifitas
organisasi.
3. COBIT – Control Objectives forInformation and related Technology
COBIT Framework dikembangkan
oleh IT Governance Institute, sebuah organisasi yang melakukan studi tentang
model pengelolaan TI yang berbasis di Amerika Serikat.
COBIT
Framework terdiri atas 4 domain utama:
- Planning & Organisation.
Domain ini menitikberatkan pada
proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.
- Acquisition &
Implementation.
Domain
ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan teknologi
informasi yang digunakan.
- Delivery & Support.
Domain ini menitikberatkan pada
proses pelayanan TI dan dukungan teknisnya.
4.
Monitoring.
Domain ini menitikberatkan pada
proses pengawasan pengelolaan TI pada organisasi.
Masing-masing
domain terdiri dari high-level control-objectives sebagai berikut:
Domain Planning & Organisation
|
|
|
|
|
|
|
|
|
|
|
Domain Acquisition &
Implementation
|
|
|
|
|
|
|
|
Domain Delivery & Support
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Domain Monitoring
|
|
|
|
|
COBIT
mempunyai model kematangan (maturity models) untuk mengontrol proses-proses TI dengan
menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat
menilai proses-proses TI yang dimilikinya dari skala non-existent sampai
dengan optimised (dari 0 sampai 5). Maturity models ini akan
memetakan:
1.
Current status dari organisasi – untuk melihat posisi organisasi saat
ini.
2.
Current status dari kebanyakan industri saat ini – sebagai
perbandingan.
3.
Current status dari standar internasional – sebagai perbandingan
tambahan.
4.
Strategi organisasi
dalam rangka perbaikan – level yang ingin dicapai oleh organisasi.
Perbandingan Model-model Standar TI Governance
1.
Perbandingan COBIT dengan ITIL
Tabel 1 menunjukkan bahwa ITIL sangat fokus kepada
proses desain dan implementasi TI, serta pelayanan pelanggan (customer
service), hal ini diperlihatkan bahwa hampir seluruh proses pada domain AI
dan DS COBIT dilakukan, sementara sebagian proses PO dilakukan, ini menunjukkan
bahwa ITIL tidak terlalu fokus pada proses penyelarasan strategi perusahaan
dengan pengelolaan TI. Proses pada domain M sama sekali tidak dilakukan oleh
ITIL, hal ini menunjukkan ITIL tidak melakukan pengawasan yang akan memastikan
kesesuaian pengelolaan TI dengan keadaan perusahaan di masa yang akan datang.
1.
Perbandingan
COBIT dengan ISO/IEC 17799
Tabel 2 menunjukkan bahwa ISO/IEC 17799
melakukan sebagian proses-proses pada seluruh domain COBIT.
Hal ini menunjukkan ISO/IEC 17799
mempunyai spektrum yang luas dalam hal pengelolaan TI sebagaimana halnya COBIT,
namun ISO/IEC 17799 tidak sedalam COBIT dalam hal detail proses-proses yang
dilakukan dalam domain-domain tersebut.
1.
Perbandingan
COBIT dengan COSO
Tabel 3
menunjukkan bahwa COSO melakukan sebagian proses di domain PO, AI, dan
DS, namun tidak satupun proses pada domain M dilakukan.
Hal ini menunjukkan bahwa COSO fokus
kepada proses penyelarasan TI dengan strategi perusahaan, dan sangat fokus
dalam hal desain dan implementasi TI.
Kesimpulan Perbandingan Model-model Standar Pengelolaan
TI
Tabel 4 memperlihatkan bahwa model-model standar
selain COBIT tidak mempunyai range spektrum yang seluas COBIT.
Model-model tersebut hanya melakukan sebagian dari proses-proses pengelolaan
yang ada di dalam COBIT
Gambar
5 memetakan standar COBIT dengan standar lainnya dalam hal kelengkapan
proses-proses TI yang dilihat dalam dua dimensi:
- Vertical –
melihat kedetailan atau kedalaman standar dalam hal teknis dan
operasional.
- Horizontal
– melihat kelengkapan proses-proses TI
No comments:
Post a Comment