Pengantar Tata Kelola IT (IT Governance)

  



Pengantar tata Kelola dan pengelolaan TI

Pengelolaan dan tata kelola teknologi informasi (TI) adalah suatu proses yang penting bagi organisasi untuk memastikan bahwa penggunaan TI dapat memberikan nilai tambah bagi bisnis dan mencapai tujuan strategis organisasi.


Tata kelola TI meliputi pengaturan dan pengendalian proses, sistem, dan sumber daya TI, serta pengambilan keputusan yang berkaitan dengan penggunaan TI di dalam organisasi. Dengan tata kelola TI yang baik, organisasi dapat meningkatkan efisiensi, mengoptimalkan penggunaan sumber daya, dan meningkatkan kinerja bisnis secara keseluruhan.

Pengelolaan TI meliputi semua aspek pengoperasian, pemeliharaan, dan pengembangan sistem TI. Ini meliputi manajemen perangkat keras dan perangkat lunak, infrastruktur jaringan, keamanan sistem, pengelolaan data, dan manajemen proyek TI. Pengelolaan TI juga mencakup pengelolaan sumber daya manusia yang berkaitan dengan TI, seperti pelatihan dan pengembangan staf TI.

Kedua konsep ini saling terkait dan perlu diintegrasikan untuk memastikan pengelolaan TI yang efektif dan efisien. Penting untuk mengembangkan strategi dan rencana tata kelola TI yang jelas dan terukur, serta memastikan bahwa pengelolaan TI dijalankan sesuai dengan prinsip-prinsip tata kelola yang baik. Dalam era digital saat ini, tata kelola dan pengelolaan TI menjadi semakin penting bagi kesuksesan organisasi.

Dengan target memastikan agar IT sejalan dengan bisnis atau organisasi. Definisi tata kelola IT menurut IT Governance Institute adalah tanggung jawab dari board of director (BOD) dan executive management yang terdiri dari kepemimpinan, struktur organisasi, dan proses untuk memastikan bahwa TI dapat mendukung dan selaras dengan strategi dan tujuan organisasi. Tata kelola IT ada sejak tahun 1993 sebagai turunan dari tata kelola perusahaan yang berkaitan dengan tujuan strategi organisasi, tujuan bisnis, dan manajemen IT di suatu organisasi atau perusahaan. Munculnya tata kelola IT menandakan pentingnya penciptaan nilai dan pertanggungjawaban untuk IT yang terkait. 

Tata kelola IT dikenal dengan berbagai nama yang berbeda-beda, seperti contohnya adalah sebagai berikut:      

  • Tata kelola teknologi informasi (Information technology governance).
  • Tata kelola teknologi informasi dan komunikasi (Information and Communications Technology Governance (ICT Governance)).
  • Tata kelola perusahaan teknologi informasi (corporate governance of information technology).
  • Tata kelola perusahaan teknologi informasi dan komunikasi (corporate governance of information and communication technology).
Urgensi, Prinsip, Tujuan tata kelola dan pengolaan TI

  1. Urgensi:

    Tata kelola dan pengelolaan teknologi informasi (TI) sangat penting bagi organisasi dalam era digital saat ini. Peran TI sebagai penggerak utama bisnis dan transformasi digital semakin meningkat, sehingga diperlukan tata kelola dan pengelolaan TI yang baik untuk meningkatkan efektivitas, efisiensi, dan keselamatan penggunaan TI di dalam organisasi.

  2. Prinsip:

    Prinsip tata kelola dan pengelolaan TI didasarkan pada prinsip-prinsip seperti keandalan, transparansi, akuntabilitas, efisiensi, efektivitas, dan keselamatan. Prinsip-prinsip ini bertujuan untuk memastikan bahwa penggunaan TI di dalam organisasi dapat memberikan nilai tambah dan menghasilkan manfaat yang optimal.

    Ada beberapa prinsip utama dalam tata kelola dan pengelolaan TI, termasuk:

    • Mengintegrasikan TI ke dalam strategi bisnis perusahaan
    • Mengoptimalkan investasi TI
    • Meningkatkan kualitas layanan TI
    • Menjaga keamanan dan privasi data
    • Menetapkan dan memantau kebijakan TI

  3. Tujuan:

    Tujuan tata kelola dan pengelolaan TI adalah untuk memastikan bahwa penggunaan TI di dalam organisasi dapat:

    • Mendukung tujuan strategis organisasi
    • Meningkatkan efisiensi dan efektivitas operasional
    • Menjamin keamanan dan perlindungan data organisasi
    • Mengurangi risiko dan kegagalan sistem TI
    • Meningkatkan penggunaan sumber daya TI yang optimal
    • Meningkatkan kualitas layanan TI bagi pengguna internal dan eksternal.

    Tujuan utama tata kelola dan pengelolaan TI adalah untuk meningkatkan nilai yang dihasilkan oleh TI bagi organisasi. Tujuan ini dapat dicapai dengan meningkatkan efisiensi dan efektivitas operasi TI, mengurangi risiko dan biaya yang terkait dengan TI, dan meningkatkan kualitas layanan TI yang disediakan bagi pengguna internal dan eksternal.

    Dalam rangka mencapai tujuan ini, beberapa kegiatan yang dapat dilakukan adalah:

    • Menerapkan kerangka kerja tata kelola TI yang sesuai dengan kebutuhan organisasi
    • Mengidentifikasi dan mengevaluasi risiko TI dan mengimplementasikan kontrol keamanan yang tepat.
    • Memastikan bahwa organisasi memiliki kemampuan untuk mengelola proyek TI dan mengembangkan sistem TI baru
    • Menetapkan dan memantau kinerja TI dengan menggunakan metrik yang sesuai
    • Meningkatkan keahlian dan kemampuan staf TI melalui pelatihan dan pengembangan.

    Dengan menjalankan prinsip-prinsip tata kelola dan pengelolaan TI yang baik, organisasi dapat memastikan bahwa penggunaan TI di dalam organisasi memberikan nilai tambah yang optimal dan menghasilkan manfaat yang signifikan bagi kesuksesan bisnis dan transformasi digital organisasi.

 

Relasi dengan GCG (Good Corporate Governance)

Tata kelola dan pengelolaan teknologi informasi (TI) erat kaitannya dengan prinsip Good Corporate Governance (GCG) atau Tata Kelola Perusahaan yang Baik. GCG adalah suatu kerangka kerja yang mencakup prinsip-prinsip dan nilai-nilai yang mengatur dan mengarahkan tindakan dan perilaku perusahaan untuk mencapai tujuan yang diinginkan. Prinsip-prinsip GCG meliputi transparansi, akuntabilitas, keadilan, tanggung jawab sosial, dan kepatuhan terhadap hukum dan peraturan.

Dalam konteks tata kelola dan pengelolaan TI, GCG memainkan peran penting dalam memastikan bahwa penggunaan TI di dalam organisasi dilakukan dengan cara yang transparan, akuntabel, adil, bertanggung jawab, dan sesuai dengan aturan dan peraturan yang berlaku. Beberapa aspek yang terkait dengan relasi antara tata kelola dan pengelolaan TI dengan GCG adalah sebagai berikut:

  1. Transparansi: Dalam tata kelola dan pengelolaan TI, transparansi sangat penting untuk memastikan bahwa informasi dan kebijakan penggunaan TI di dalam organisasi dapat diakses dan dimengerti oleh semua pihak yang terkait.

  2. Akuntabilitas: Prinsip akuntabilitas menekankan pentingnya mempertanggungjawabkan tindakan dan keputusan penggunaan TI yang diambil oleh organisasi. Dalam hal ini, pengukuran kinerja TI dan pelaporan yang tepat menjadi kunci untuk menjaga akuntabilitas yang baik.

  3. Keadilan: Dalam penggunaan TI, prinsip keadilan meliputi hak dan perlindungan bagi para pengguna, termasuk keamanan data dan privasi. Keadilan juga terkait dengan akses dan penggunaan TI secara merata oleh semua pihak yang terkait.

  4. Tanggung jawab sosial: Tata kelola dan pengelolaan TI harus memperhatikan tanggung jawab sosial perusahaan, seperti menjaga privasi pengguna, menghindari diskriminasi, dan memperhatikan dampak lingkungan dari penggunaan TI.

  5. Kepatuhan terhadap hukum dan peraturan: Tata kelola dan pengelolaan TI harus selalu memastikan kepatuhan terhadap aturan dan peraturan yang berlaku, seperti peraturan privasi, keamanan data, dan regulasi terkait teknologi.

Dengan menjalankan tata kelola dan pengelolaan TI yang baik, perusahaan dapat memastikan bahwa penggunaan TI dilakukan dengan cara yang sesuai dengan prinsip-prinsip GCG. Hal ini akan memperkuat reputasi perusahaan, meningkatkan kepercayaan para pemangku kepentingan, dan menghasilkan manfaat yang optimal bagi perusahaan.

 

Regulasi nasional terkait tata Kelola

Di Indonesia, terdapat beberapa regulasi nasional yang terkait dengan tata kelola dan pengelolaan teknologi informasi (TI) di dalam perusahaan. Beberapa di antaranya adalah:

  1. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE): UU ITE mengatur tentang penggunaan teknologi informasi dan transaksi elektronik di Indonesia, serta menegaskan pentingnya menjaga keamanan dan kerahasiaan informasi yang dihasilkan dan dikirim melalui teknologi informasi.

  2. Peraturan Bank Indonesia Nomor 19/12/PBI/2017 tentang Tata Kelola Teknologi Informasi pada Bank: Peraturan ini mengatur tentang tata kelola dan pengelolaan teknologi informasi di bank, termasuk tentang penilaian risiko TI, keamanan TI, dan pelaporan kejadian TI.

  3. Peraturan Otoritas Jasa Keuangan (OJK) Nomor 1/POJK.07/2013 tentang Pelaksanaan Fungsi Audit Internal pada Bank Umum dan Unit Usaha Syariah: Peraturan ini mengatur tentang fungsi audit internal pada bank dan unit usaha syariah, termasuk tentang tata kelola dan pengelolaan TI.

  4. Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Standar Nasional Interkoneksi (SNI) Telekomunikasi: Peraturan ini mengatur tentang tata kelola dan pengelolaan interkoneksi telekomunikasi, termasuk tentang keamanan dan perlindungan data pengguna.

  5. Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 tentang Sistem Elektronik Pemerintah (e-Government): Peraturan ini mengatur tentang penggunaan teknologi informasi dalam penyelenggaraan layanan pemerintah, termasuk tentang tata kelola dan pengelolaan sistem elektronik pemerintah.

Regulasi-regulasi ini merupakan upaya pemerintah dalam meningkatkan tata kelola dan pengelolaan TI di dalam perusahaan dan institusi pemerintah di Indonesia. Dengan mematuhi regulasi-regulasi tersebut, perusahaan dapat memastikan bahwa penggunaan TI dilakukan dengan cara yang aman, efektif, dan efisien, serta sesuai dengan standar dan peraturan yang berlaku.

 

Balanced Scorecard (BSC) sebagai framework

Balanced scorecard (BSC) adalah framework perencanaan strategis dan manajemen kinerja untuk melacak keuangan dan non-keuangan dan menentukan efektivitas organisasi serta kapan organisasi mengambil tindakan perbaikan yang dibutuhkan. BSC digunakan oleh bisnis ataupun pemerintah untuk menyelaraskan kegiatan sehari-hari dengan visi, misi, dan nilai perusahaan. BSC merupakan alat manajemen yang banyak digunakan terutama di Amerika Serikat, Inggris, Eropa Utara, dan Jepang. BSC membutuhkan banyak usaha untuk dapat diterapkan dan digunakan secara efektif, perusahaan harus memiliki sumber daya yang disiplin untuk keberhasilan BSC.

 


 

Balanced Scorecard (BSC) adalah sebuah framework yang digunakan dalam manajemen strategis untuk mengukur kinerja perusahaan berdasarkan empat perspektif utama, yaitu:

  1. Perspektif Keuangan: Fokus pada kinerja keuangan perusahaan, seperti pertumbuhan laba, ROI (Return on Investment), cash flow, dan market share.

  2. Perspektif Pelanggan: Fokus pada kinerja perusahaan dalam memenuhi kebutuhan dan harapan pelanggan, seperti kepuasan pelanggan, loyalitas, dan pangsa pasar.

  3. Perspektif Proses Internal: Fokus pada kinerja perusahaan dalam mengoptimalkan proses internal untuk mencapai efisiensi, efektivitas, dan keunggulan kompetitif, seperti kualitas produk, produktivitas, dan waktu respon.

  4. Perspektif Pembelajaran dan Pertumbuhan: Fokus pada kinerja perusahaan dalam membangun kapasitas dan kemampuan sumber daya manusia, pengembangan teknologi dan inovasi, serta pemenuhan tanggung jawab sosial dan lingkungan.

Dengan menggunakan BSC, perusahaan dapat mengukur kinerjanya secara holistik dan seimbang dari keempat perspektif tersebut. Framework ini juga membantu perusahaan dalam mengintegrasikan strategi bisnis dengan operasi dan aktivitas sehari-hari.

Untuk mengimplementasikan BSC, perusahaan dapat mengikuti beberapa langkah, yaitu:

  1. Menentukan visi, misi, dan strategi bisnis perusahaan.
  2. Menetapkan indikator kinerja (Key Performance Indicators/KPIs) yang relevan untuk masing-masing perspektif BSC.
  3. Menetapkan target kinerja untuk setiap KPI.
  4. Memonitor dan mengevaluasi kinerja perusahaan secara berkala, serta melakukan tindakan perbaikan jika terdapat ketidaksesuaian antara kinerja aktual dan target.

BSC dapat diterapkan pada berbagai jenis perusahaan, baik yang berskala kecil maupun besar, dan dalam berbagai sektor industri. Selain itu, BSC juga dapat diintegrasikan dengan framework lain, seperti ISO 9001 dan ISO 14001, untuk mencapai tujuan bisnis yang lebih komprehensif dan berkelanjutan.

 

Pengenalan COBIT 5 family sebagai framework utama


COBIT 5 family merupakan salah satu framework utama dalam tata kelola dan pengelolaan TI. COBIT 5 (Control Objectives for Information and related Technology) adalah sebuah framework yang dikembangkan oleh ISACA (Information Systems Audit and Control Association) untuk membantu perusahaan dalam mengelola TI secara efektif dan efisien.

COBIT 5 family terdiri dari empat komponen utama, yaitu:

  1. COBIT 5 Framework: Merupakan komponen utama yang menggambarkan prinsip-prinsip dan konsep dasar COBIT 5, serta memberikan panduan dalam mengimplementasikan tata kelola TI yang baik.

  2. COBIT 5 Process Reference Model: Merupakan model referensi proses yang terdiri dari 37 proses dalam lima domain, yaitu Evaluasi, Perencanaan dan Organisasi, Akuisisi dan Implementasi, Pengoperasian, dan Monitor dan Evaluasi.
     
  3. COBIT 5 Implementation Guidance: Merupakan panduan praktis dalam mengimplementasikan COBIT 5 secara efektif.
     
  4. COBIT 5 Enablers: Merupakan faktor-faktor yang memungkinkan tercapainya tujuan bisnis perusahaan dengan bantuan TI, seperti manusia, proses, kebijakan, organisasi, infrastruktur, dan aplikasi.
COBIT 5 family membantu perusahaan dalam mengelola TI dengan memfokuskan pada pengendalian, nilai, dan risiko. COBIT 5 menawarkan sejumlah manfaat bagi perusahaan, antara lain:

  •     Mengurangi kompleksitas dan meningkatkan efektivitas biaya
  •     Meningkatkan kepuasan pengguna
  •     Meningkatkan integrasi keamanan informasi dalam perusahaan
  •     Menginformasikan risiko keputusan dan risk awareness
  •     Mengurangi dampak keamanan informasi
  •     Meningkatkan dukungan untuk inovasi dan daya saing
  •     Meningkatkan pengelolaan biaya yang berhubungan dengan fungsi keamanan informasi


COBIT 5 family dapat diimplementasikan pada berbagai jenis perusahaan, baik yang berskala kecil maupun besar, dan dalam berbagai sektor industri. Selain itu, COBIT 5 family juga dapat diintegrasikan dengan framework lain, seperti ITIL dan ISO 27001, untuk mencapai tujuan bisnis yang lebih komprehensif dan berkelanjutan.

Model referensi proses COBIT 5 membagi praktik dan aktivitas yang berhubungan dengan IT ke dalam area utama dengan pembagian domain sebagai berikut:

  1. Evaluate, Direct, and Monitor (EDM) = Proses tata kelola berhubungan dengan tata kelola tujuan stakeholder (pengantaran nilai, optimasi risiko dan optimasi sumberdaya), serta termasuk di dalamnya praktik dan aktivitas yang bertujuan untuk mengevaluasi pilihan strategis, pengarahan menuju TI dan monitoring outcome (pengawasan terhadap hasil)
    EDM Defined Process:

    • EDM01 Ensure governance framework setting and maintenance
    • EDM02 Ensure benefits delivery
    • EDM03 Ensure risk optimasion
    • EDM04 Ensure resource optimasion
    • EDM05 Ensure stakeholder transparancey

  2. Align, Plan, and Organise (APO) = Domain ini meliputi strategi dan taktik, serta identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian sasaran bisnis.

    APO Defined Process:

    •     PO01 Manage The IT management Framework
    •     APO02 Manage Strategy
    •     APO03 Manage Enterprise architecture
    •     APO04 Manage innovation
    •     APO05 Manage portfolio
    •     APO06 Manage budget and costs
    •     APO07 Manage human resources
    •     APO08 Manage relationship
    •     APO09 Manage service agreement
    •     APO10 Manage suppliers
    •     APO11 Manage quality
    •     APO12 Manage risk
    •     APO13 Manage security

  3.  Build, Acquire, and Implement (BAI) = Domain ini menggambarkan bagaimana perubahan dan pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis.

    BAI Defined Process:

    • BAI01 Manage programmes and projects
    • BAI02 Manage requirements and definitions
    • BAI03 Manage solutions identification and build
    • BAI04 Manage availability adn capacity
    • BAI05 Manage organisational change enablement
    • BAI06 Manage changes
    • BAI07 Manage change acceptance and transitioning
    • BAI08 Manage knowledge
    • BAI09 Manage assets
    • BAI10 Manage configuration

  4. Deliver, Service, and Support (DSS) = Domain ini mencakup penyampaian hasil aktual dari layanan yang diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna serta pengelolaan data dan operasional fasilitas

    DSS Defined Process:

    • DSS01 Manage operations
    • DSS02 Manage service requests and incidents
    • DSS03 Manage problems
    • DSS04 Manage continuity
    • DSS05 Manage security services
    • DSS06 Manage business process control

  5. Monitor, Evaluate, and Asses (MEA) = Domain ini terkait dengan kinerja manajemen, kontrol internal, pemenuhan terhadap aturan serta menyediakan tata kelola. Fungsi doman ini sendiri adalah untuk memastikan seluruh proses TI dapat dikontrol secara periodik yang bermaksud untuk menjaga kualitas dan pemenuhan kebutuhan pasar.

    MEA Defined Process:

    •     MEA01 Monitor, evaluate and assess performance and conformance
    •     MEA02 Monitor, evaluate and assess the system of internal control
    •     MEA03 Monitor, evaluate and assess compliance with external requirements




COBIT 5 Framework didasari dengan prinsip yang ada antara lain:

  • Meeting Stakeholder Needs = Perusahaan ada untuk menciptakan value kepada seluruh stakeholdernya didasarkan pada pemeliharaan keseimbangan antara realisasi keuntungan dan optimalisasi risiko dan penggunaan sumber daya yang ada.
  • Covering the Enterprise End-to-End = COBIT 5 mengintegrasikan IT enterprise pada organisasi pemerintahan dengan cara:

    • Mengakomodasi seluruh fungsi dan proses yang terdapat pada enterprise. COBIT 5 tidak hanya fokus pada ‘fungsi IT’, namun termasuk pada pemeliharaan informasi dan teknologi terkait sebagai aset layaknya aset-aset yang terdapat pada enterprise.
    • Mengakomodasi seluruh stakeholders, fungsi dan proses yang relevan dengan keamanan informasi
       
     
  • Applying a Single, Integrated Network = Ada banyak standar terkait IT dan praktik yang baik, masing-masing memberikan panduan tentang subset kegiatan IT. COBIT 5 sejalan dengan standar dan kerangka kerja lain yang relevan di tingkat tinggi, dan dengan demikian dapat berfungsi sebagai kerangka kerja menyeluruh untuk tata kelola dan manajemen IT perusahaan.

  • Enabling a Holistic Approach = Tata kelola dan manajemen TI perusahaan yang efisien dan efektif memerlukan pendekatan holistik, dengan mempertimbangkan beberapa komponen yang saling berinteraksi. COBIT 5 mendefinisikan satu set enabler untuk mendukung penerapan tata kelola dan sistem manajemen yang komprehensif untuk TI perusahaan. Enabler secara luas didefinisikan sebagai segala sesuatu yang dapat membantu untuk mencapai tujuan perusahaan.


Seven Enabler kesuksesan implementasi

https://miro.medium.com/v2/resize:fit:1100/format:webp/0*uT8LjoVPdlOOAAUh.jpg


  1. Principles, Policies and Framework = Enablers ini berfungsi untuk merumuskan kebutuhan dan perilaku stakeholder menjadi panduan praktis yang akan digunakan di dalam kegiatan operasional perusahaan khususnya pada sektor IT.
     
  2. Processes = Proses sebagai enabler memiliki peran untuk memberikan rincian mengenai rangkaian kegiatan dan aktivitas praktis yang dilakukan untuk mencapai tujuan dari perusahaan. Proses juga diharapkan untuk memberikan output / hasil keluaran yang mendukung pencapaian dari bidang IT di dalam perusahaan.
     
  3. Organizational Structure = Struktur organisasi menjadi kunci di dalam pengambilan keputusan di dalam organisasi. Keputusan yang dibuat juga harus memenuhi kebutuhan dan tujuan semua stakeholder. Sehingga entitas tersebut bertanggung jawab terhadap keputusan — keputusan dan kebijakan yang dilakukan oleh perusahaan.
     
  4. Culture, Ethics, and Behaviour = Setiap perusahaan memiliki budaya, etika dan kebiasaan masing - masing. Nilai-nilai dan tujuan perusahaan hanya dapat dicapai dengan kebiasaan perusahaan yang baik, oleh karena itu dibutuhkan suatu standar untuk memberikan penilaian terhadap sebuah budaya, kebiasaan, dan etika.
     
  5. Information = Informasi merupakan faktor yang sangat penting terhadap kegiatan bisnis di dalam suatu perusahaan karena informasi merupakan syarat untuk membuat ‘pergerakan’ di dalam perusahaan seperti membuat keputusan, mengatasi masalah, dll. Tanpa informasi perusahaan akan salah dalam membuat keputusan yang tepat.
     
  6. Services = Layanan merupakan penghubung antara pengguna IT dan proses IT yang telah dirancang sebelumnya, sehingga apabila layanan tersebut tidak berfungsi dengan benar maka tujuan IT perusahaan juga tidak akan tercapai.
     
  7. People, Skill, and Competencies = Keahlian dan kompetensi berhubungan dengan orang dan yang dibutuhkan untuk menjalankan semua aktivitas yang berhasil dan pembuatan keputusan yang tepat serta mengambil aksi-aksi perbaikan. Tenaga kerja harus terseleksi dengan baik sehingga dapat melaksanakan proses dan peran mereka masing — masing sehingga pada akhirnya tujuan perusahaan dapat tercapai dengan efisien dan tepat pada sasaran.