TATA KELOLA TI (IT GOVERNANCE )
Definisi Tatakelola TI (1) The IT Governance Institute (ITGI) mendefinisikan tatakelola TI sebagai suatu bagian integral dari tatakelola perusahaan yang terdiri atas kepemimpinan,struktur dan proses organisasional yang memastikan bahwa TI organisasi berlanjut serta meningkatkan tujuan dan strategi organisasi.
Definisi Tatakelola TI (2) Weil dan Ross (2004) mendefinisikan tatakelola TI sebagai penspesifikasian hak keputusan dan rerangka akuntabilitas untuk mengarahkan perilaku yang diinginkan dalam penggunaan TI.
Definisi Tatakelola TI (3) Jogiyanto (2011:14—15) mendefinisikan sebagai suatu struktur dan proses pengambilan keputusan TI di tingkat korporat untuk mengarahkan perilaku yang diinginkan insan TI dan memastikan keberhasilan TI dalam rangka penciptaan nilai bagi stakeholder.
Pengertian Struktur Struktur tatakelola TI menjelaskan komponen dan elemen yang membentuk dan membangun sistem tatakelola TI. Struktur tersebut terdiri atas struktur hak keputusan,aktiva manusia,regulasi dan standar. Setiap komponen akan berjalan melalui serangkaian mekanisme yang dijelaskan dalam proses tatakelola TI.
Sistem Tatakelola TI StrukturProses Aktiva ManusiaProses perancangan tatakelola TI Struktur hak keputusan (archetype) atas TI Proses keputusan TI Serangkaian regulasi dan standarMekanisme penyelarasan strategi bisnis dan TI Mekanisme implementasi keputusan TI Mekanisme pengawasan dan pengarahan perilaku pengguna. Mekanisme evaluasi kinerja TI
PENGERTIAN Memiliki definisi yang inklusif yang mencakup SI,teknologi dan komunikasi,bisnis dan hukum serta isu-isu lain yang melibatkan hampir seluruh stakeholder, baik direktur,manajemen eksekutif,pemilik proses,suplier,pengguna TI bahkan pengaudit SI/TI. Pembentukan dan penyusunan tata kelola tersebut merupakan tanggung jawab dari jajaran direksi dan manajemen eksekutif.
HAKIKAT Tata kelola TI berkaitan dengan dua permasalahan utama: bahwa TI akan memberikan nilai terhadap bisnis yang didorong oleh penyelarasan TI dengan bisnis dan bahwa resiko yang terkait dengan TI akan ditangani dengan penentuan penanggung jawab permasalahan tersebut dalam perusahaan.
Pentingnya Tatakelola TI Adanya perubahan peran TI, dari peran efisiensi ke peran strategik yang harus ditangani di level korporat. Banyak proyek TI strategik yang penting namun gagal dalam pelaksanaannya karena hanya ditangani oleh teknisi TI. Keputusan TI di dewan direksi bersifat ad hoc atau tidak terencana dengan baik.
lanjutan TI merupakan pendorong utama proses transformasi bisnis yang memberi imbas penting bagi organisasi dalam pencapaian misi,visi dan tujuan strategik. Kesuksesan pelaksanaan TI harus dapat terukur melalui metrik tatakelola TI.
Indikasi keputusan bersifat ad hoc dan tidak terencana dengan baik Keputusan dibuat dalam posisi perdebatan informal. Proyek disetujui tanpa konteks strategik Fokus lebih pada kapasitas CIO dibandingkan tatakelola TI berada pada jalurnya Komunikasi dan presentasi dilakukan dengan bahasa yang terlalu technology minded. CIO memiliki akuntabilitas di luar kendalinya Dewan direksi terlalu fokus pada hal-hal kecil dibandingkan pada masalah yang lebih besar.
Perbedaan Mengatur dan Menatakelola TI KriteriaMengatur(manage) TIMenatakelola(govern) TI SkupLebih sempitLebih luas MekanismeDepartemen TIKorporasi Keputusan TIKeputusan TI spesifikKeputusan TI korporat FokusProses InternalInternal dan eksternal HorisonSekarang & jangka pendek Jangka panjang Objek KeputusanKeputusan yang dibuatSiapa dan bagaimana membuat keputusan Proses implementasiDapat dialihkan (outsourcing) Tidak dapat dialihkan (insourcing) Personil bertanggungjawab Manajer TI (CIO)Dewan direksi termasuk CIO
Diagram Arsitektur Teori Tatakelola TI (Sumber:Simonsson & Jhonson,2006) IT Governance Goal Technology People Process Understand Decide Monitor U DM U D M U D M STRATEGYTACTICS
Domain Tatakelola TI Keputusan atas tujuan (goal) Keputusan atas proses (process) Keputusan atas orang (people) Keputusan atas teknologi(technology)
GOAL Keputusan pengembangan dan perbaikan strategi TI,kebijakan,petunjuk dan tujuan kendali untuk memonitor bagaimana tujuan dicapai.
Process Keputusan mengenai implementasi dan manajemen proses TI serta aktivitas dan prosedur terkait.
People Keputusan mengenai struktur relasional dalam organisasi serta peran dan tanggung jawab berbagai stakeholder.
Technology Keputusan mengenai aset fisik yang terkait TI. Contoh: Infrastruktur,seperti:server,UPS,firewall dan LAN korporat. Aplikasi,seperti: sistem CRM,modul ERP,OS dan sofware desktop. Simpanan informasi,seperti struktur dan penggunaan fasilitas,aset fisik, dan personil IT.
Rerangka Pendefinisian Sistem Tatakelola TI yang Diproposisi Perilaku yg diinginkan Penilaian Kinerja Alignment Keputusan IT Audit Keputusan IT Audit Gol Organisasi Nilai Aktiva ManusiaSistem TIArchetype Regulasi dan Standar
ARCHETYPE Business Monarchy IT Monarchy Feudal Federal IT Duopoly Anarchy
Business Monarchy Itersentalisasi, sistem ini banyak diadopsi oleh organisasi berskala besar dengan sistem organisasi yang kompleks. Archetype ini dipilih agar sentralisasi keputusan TI dan bisnis dapat diselaraskan. Keterbatasannya yaitu kurangnya fleksibilitas dalam pengambilan keputusan pada level unit bisnis sehingga kreativitas terkorbankan.
IT Monarchy Menjelaskan hak keputusan TI berada pada individu atau group eksekutif TI di departemen TI.
Feudal Menjelaskan hak keputusan TI berada pada para eksekutif di unit bisnis. Desentralisasi Diversifikasi horisontal Organisasi organik yang fleksibel.
Federal Menjelaskan hak keputusan TI berada pada monarki bisnis dan eksekutif TI. Union untuk menyelaraskan rencana dan strategi bisnis dan strategi TI. Akomodatif terhadap stakeholder
IT Duopoly Hak keputusan TI berada pada eksekutif TI dan para pemimpin unit bisnis. Koordinasi dan negosiasi antara unit bisnis dan departemen TI.
Anarchy Menjelaskan hak keputusan TI berada pada individu atau group pengguna. Cocok untuk UMKM yang penggunanya sekaligus berperan sebagai pengambilan keputusan atas TI.
Prinsip Tatakelola TI Tatakelola TI lebih sebagai sistem pencegahan. Rancang tatakelola TI secara terintegrasi. Keterlibatan dan partisipasi eksekutif puncak. Kaji secara rutin. Selaraskan dengan visi organisasi. Selaraskan dengan sistem penghargaan. Tanggungjawab dan kepemilikan yang jelas. Pengungkapan yang jelas. Rancang tatakelola pada level organisasional berbeda.
KATA KUNCI Dengan demikian penyelarasan bisnis dan TI mengarahkan pada pemenuhan nilai bisnis adalah elemen kunci dari tata kelola TI.
AREA TATA KELOLA TI Strategic alignment Value delivery Resource management Risk management Performance measurement
Strategic Alignment Memfokuskan kepastian terhadap keterkaitan antara strategi bisnis dan TI serta penyelarasan antara operasional TI dengan bisnis.
Value Delivery Mencakup hal-hal yang terkait dengan penyampaian nilai yang memastikan bahwa TI memenuhi manfaat yang dijanjikan dengan memfokuskan pada pengoptimalan biaya dan pembuktian nilai hakiki akan keberadaan TI.
Resource Management Berkaitan dengan pengoptimalan investasi yang dilakukan dan pengelolaan secara tepat dari sumber daya TI yang kritis mencakup: aplikasi, informasi, infrastruktur dan SDM. Isu kunci area ini berhubungan dengan pengoptimalan pengetahuan dan infrastruktur.
Risk Management Membutuhkan kepekaan akan resiko oleh manajemen senior, pemahaman yang jelas akan perhatian perusahaan terhadap keberadaan resiko, Pemahaman kebutuhan akan kepatutan, transparansi akan resiko yang signifikan terhadap proses bisnis perusahaan dan tanggung jawab pengelolaan resiko ke dalam organisasi itu sendiri.
Performance Measurement Penelusuran dan pengawasan implementasi dari strategi, pemenuhan proyek yang berjalan, penggunaan sumber daya, kinerja proses dan penyampaian layanan dengan menggunakan kerangka kerja seperti balanced scorecard yang menerjemahkan strategi ke dalam tindakan untuk mencapai tujuan terukur dibandingkan dengan akuntansi konvensional.
KERANGKA KERJA Gambar Peran dan Fungsi Kerangka Kerja Tata Kelola TI GOVERN STRATEGI KONTROL APAAPA MANAGE TAKTIS EKSEKUSI BAGAIMANABAGAIMANA COBIT Control Objectives for Information and Related Technology ISO International Standards Organization ITIL Information Technology Infrastructur Library
COBIT Menyediakan standar dalam kerangka kerja domain yang terdiri dari sekumpulan proses TI yang mempresentasikan aktivitas yang dapat dikendalikan dan terstruktur. Memfokuskan pada lebih banyak kontrol dan sedikit eksekusi sehingga kepentingannya lebih ditujukan kepada pendefinisian strategi dan kontrol yang biasanya dilakukan oleh manajemen tingkat atas, namun tidak detil menjelaskan bagaimana memenuhi keduanya dipenuhi yang dapat dipakai sebagai acuan pengguna yang langsung terkait dengan pengelolaan TI
EMPAT DOMAIN PROSES TI BERDASARKAN COBIT Plan and Organize (PO) Acquire and Implement (AI) Deliver and Support(DS) Monitor and Evaluate (ME)
PROSES TI DALAM DOMAIN PO BERDASARKAN COBIT PO1Mendefinisikan rencana strategis TI PO2Mendefinisikan Arsitektur Informasi PO3Menentukan arahan teknologi PO4Proses Mendefinisikan Proses TI,organisasi dan keterhubungannya. PO5Mengelola investasi TI PO6Mengkomunikasikan tujuan dan arahan manajemen PO7Mengelola sumber daya TI PO8Mengelola kualitas PO9Menaksir dan mengelola Resiko TI PO10Mengelola proyek DOMAIN PLAN AND ORGANIZE (PO)
A11Mengidentifikasikan solusi otomatis A12Memperoleh dan memelihara perangkat lunak aplikasi A13Memperoleh dan memelihara infrastruktur teknologi A14Memungkinkan operasional dan penggunaan A15Memenuhi sumber daya TI A16Mengelola perubahan A17Instalasi dan akreditasi solusi beserta perubahannya DOMAIN ACQUIRE AND IMPLEMENT (AI)
DS1Mendefinisikan dan mengelola tingkat layanan DS2Mengelola layanan pihak ketiga DS3Mengelola kinerja dan kapasitas DS4Memastikan layanan yang berkelanjutan DS5Memastikan keamanan sistem DS6Mengidentifikasi dan mengalokasikan biaya DS7Mendidik dan melatih pengguna DS8Mengelola service desk dan insiden DS9Mengelola konfigurasi DS10Mengelola permasalahan DS11Mengelola data DS12Mengelola lingkungan fisik DS13Mengelola operasi DOMAIN DELIVER AND SUPPORT (DS)
ME1Mengawasi dan mengevaluasi kinerja TI ME2Mengawasi dan mengevaluasi kontrol internal ME3Memastikan pemenuhan terhadap kebutuhan eksternal ME4Menyediakan Tata Kelola TI DOMAIN MONITOR AND EVALUATE (ME)
Fokus Area Tata Kelola TI Strategic Alignment PO1,PO2,PO6,PO7,PO8,PO9,PO 10,PO11,A12,DS1,ME3,ME4 PO3,PO4,PO5,A14,A17,DS3, DS4,DS7,ME1 Value DeliveryPO5,A11,A12,A14,A16,A17,DS1, DS2, DS4,DS7,DS8,DS9,DS10,DS11, ME2,ME4 PO2,PO3,PO5,A14,A17,DS3, DS4,DS7,ME1 Resource Management PO2,PO3,PO4,PO7,A13,A15,DS1, DS3,DS6,DS9,DS11,DS13,ME4 PO1,PO5,PO10,A11,A14,A16, A17,DS2,DS4,DS7,DS12,ME1 Risk Management PO4,PO6,PO9,DS2,DS4,DS5,DS1 1,DS12,ME2,ME3,ME4 PO1,PO2,PO3,PO7,PO8,PO1 0, A11,A12,A14,A17,DS3,DS7,D S9,DS10,ME1 Performance Measurement DS1,ME1,ME4PO5,PO7,PO10,A17,DS2,DS3, DS4,DS6,DS8,DS10 Proses-proses Pendukung Secara Primer Secara Sekunder
Korelasi Kerangka Kerja COBIT Masing-masing Proses TI tersebut juga dilengkapi dengan objektif kontrol sehingga kerja COBIT menyediakan keterkaitan yang jelas antara kebutuhan Tata Kelola TI, Proses TI dan objektif kontrol TI. Dengan demikian, COBIT mendukung Tata Kelola TI dengan penyediaan kerangka kerja yang memastikan bahwa: TI selaras dengan kebutuhan bisnis, TI yang mendukung bisnis dengan lebih baik dan mampu memaksimumkan manfaat,……
lanjutan ….. penggunaan sumber daya TI yang bertanggung jawab serta resiko TI dikelola dengan tepat. Proses-proses TI yang didefinisikan dalam kerangka kerja COBIT akan mendukung pemenuhan fokus area yang berbeda-beda dalam Tata Kelola TI, dukungan primer dan sekunder.
IT Infrastructure Library Standar yang dikeluarkan pemerintah UK sebagai kerangka kerja yang diacu oleh best practice proses dan prosedur manajemen operasional. Lebih spesifik, terutama memfokuskan terhadap pendefinisian fungsi, operasional dan atribut organisasi yang diperlukan agar manajemen operasional dapat dioptimasi secara penuh ke dalam dua kategori utama pengelolaan aktivitas TI dalam perusahaan yaitu Service Support Management dan Service Delivery Management.
Service Support Management Service Desk Incident Problem Configuration Change and Release Management
Service Delivery Management Service Level Financial Capacity Service Continuity and Availability
Tujuan IT Infrastruktur Library Meningkatkan efisien operasional TI dan kualitas layanan pelanggan. Kerangka yang diberikan belum memberikan panduan pengelolaan TI yang memenuhi kebutuhan di tingkat yang lebih tinggi (high level objective) di perusahaan seperti kerangka kerja COBIT.
International Standars Organization (ISO) ISO merupakan struktur penomoran yang standar dari ISO. Berawal dari British Standard 7799(BS 7799) sekitar tahun 1995 yang disusun oleh sekelompok perusahaan besar seperti: Board of Certification, British Telecom, dsb.
BS The Code of Practice for Information Security Management (Part 1). 2. The Specification for Information Security Management System/ISMS (Part 2).
ISO dan IEC Tahun 2000 mengadopsi BS 7799 Part 1 dan menerbitkannya sebagai standar ISO/IEC 17799: BS 7799 Part 2 sebagai standar ISO/IEC 17799:27001 yang diakui secara internasional sebagai standar sistem manajemen keamanan informasi. Standar tersebut memiliki fungsi dan peran masing-masing dan berkembang ke seri lain.
ISO/IEC Dokumen yang berisikan definisi-definisi dalam bidang keamanan informasi yang digunakan sebagai istilah dasar dalam seri tersebut.
ISO/IEC Mencakup aspek-aspek pendukung realisasi dan implementasi sistem manajemen keamanan informasi perusahaan. Dokumen standar Information Security Management Systems (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengimplentasian konsep-konsep keamanan informasi di perusahaan.
Aspek-aspek Keamanan Informasi 1. Security policy 2. Organization of information security 3. Asset management 4. Human resource security 5. Physical and environmental security 6. Communication and operations management
lanjutan 7. Access control 8. Information system acquisition 9. Development and maintenance 10. Information security incident management 11. Business continuity management and compliance
ISO/IEC Panduan praktis pelaksanaan dan implementasi sistem manajemen informasi perusahaan berdasarkan ISO/IEC 27001
Peran Audit Dalam Tata Kelola TI 1. Kerugian akibat kehilangan data 2. Kesalahan dalam pengambilan keputusan 3. Risiko kebocoran data 4. Penyalahgunaan komputer 5. Kerugian akibat kesalahan proses perhitungan 6. Tingginya nilai investasi perangkat keras dan perangkat lunak.