KERANGKA GOVERNANCE BERDASARKAN ISO‐38500
KERANGKA GOVERNANCE BERDASARKAN ISO‐38500
Konsep IT Governance yang diperkenalkan oleh ISACA/ITGI beberapa tahun yang lalu melalui produknya yang dinamakan COBIT telah membuat banyak praktisi bisnis dan teknologi informasi mulai sadar akan pentingnya mengelola dan mengatur manajemen teknologi informasi secara transparan, akuntabel, dan bertanggung jawab. Lembaga standar dunia yaitu ISO (International Standard Organisation) akhirnya memutuskan pula untuk memperkenalkan standar terakait dengan IT Governance yang diberi nomor ISO‐38500 untuk dapat diterapkan di industri. Secara konseptual, ISO‐38500 ini berpijak pada kerangka governance yang dikembangkan oleh Calder dan Moir, sehingga sering dinamakan sebagai “Calder‐Moir Framework”. Menurut kerangka IT Governance yang dikembangkan tersebut, terdapat 6 (enam) aspek utama dari pengelolaan teknologi informasi yang harus dikembangkan dan diperhatikan secara sungguh‐ sungguh sebagaimana dipaparkan berikut ini.
Pertama adalah “Business Strategy”, yang merupakan aspek terpenting dalam sebuah organisasi komersial seperti perusahaan, karena di sinilah para pemangku kepentingan utama mendefinisikan cara‐cara yang akan diambil untuk menggapai visi, misi, dan obyektif yang telah dicanangkan. Dalam menyusun strategi bisnis ini sejumlah hal perlu diperhatikan seperti model bisnis, lingkungan internal dan eksternal usaha, segmentasi pasar dari potensi pelanggan, arsitektur bisnis, dan lain sebagainya. Banyak konsep atau teori (tool) yang dapat dipergunakan untuk mengembangkan strategi bisnis ini, seperti: balanced scorecard, value chain, strategic map, dan lain sebagainya.
Kedua adalah “Risk, Comformance, and Compliance”, yang merupakan komponen pengendali agar strategi dan pendekatan bisnis yang dijalankan tidak mengalami masalah karena begitu banyaknya risiko yang tidak diinginkan dapat terjadi. Pendekatan seperti audit, manajemen risiko, standar/aturan kepatuhan, obyektif kontrol, dan lain‐lain adalah contoh beberapa hal yang harus diketahui dan dijalankan oleh perusahaan. Untuk itu cukup banyak standar di industri yang dapat dipergunakan, seperti: COSO, COBIT, ISO‐27001, PCI DSS, Malcolm Balridge, dan lain sebagainya.
Ketiga adalah “IT Strategy”, yang merupakan pendekatan yang dipilih perusahaan dalam merencanakan, mengadakan, menerapkan, mengendalikan, mengembangkan, dan mengawasi sistem teknologi informasi yang dimiliki. Di dalam sebuah dokumen IT Strategy yang lengkap dapat ditemui hal‐hal semacam: aristektur korporasi (bisnis, informasi, aplikasi, dan teknologi), prinsip pengembangan teknologi informasi, strategi informasi, peta pandu (roadmap) pengembangan teknologi informasi, dan lain sebagainya. Adapun “good practices” yang dapat digunakan adalah TOGAF, Zachman Framework, CMMI, IT Balanced Scorecard, ITIL, dan lain‐lain.
Keempat adalah “Change”, yang merupakan strategi perubahan menuju kondisi yang diinginkan dari situasi termutakhir (saat ini) dari perusahaan yang bersangkutan. Model perubahan yang ada didefinisikan berdasarkan analisa gap dimana di dalamnya dipaparkan mengenai kesiapan organisasi, program/proyek Keempat adalah “Change”, yang merupakan strategi perubahan menuju kondisi yang diinginkan dari situasi termutakhir (saat ini) dari perusahaan yang bersangkutan. Model perubahan yang ada didefinisikan berdasarkan analisa gap dimana di dalamnya dipaparkan mengenai kesiapan organisasi, program/proyek
Kelima adalah “Information and Technology Balance Sheet” yang berisi daftar inventarisasi seluruh aset sistem dan teknologi informasi yang berada dalam posesi organisasi atau perusahaan yang bersangkutan. Komponen yang harus diperhatikan antara lain adalah: struktur organisasi, database, aplikasi, infrastruktur, jaringan, sumber daya manusia, dan lain sebagainya. Adapun konsep yang dapat dipergunakan antara lain adalah manajemen pengetahuan, arsitektur sistem informasi korporat, ITABOK, dan lain sebagainya.
Keenam adalah “Operations” yang sangat erat kaitannya dengan metoda penyelenggaraan sistem dan teknologi informasi yang dimiliki perusahaan. Hal‐ hal penting yang harus diperhatikan adalah keberlangsungan proses bisnis, operasional teknologi, manajemen pemeliharaan aset teknologi informasi, keamanan data dan informasi, dan lain‐lain. Sementara konsep yang dapat dipergunakan antara lain adalah Six Sigma, ITPO, BS25999, ISO 20000, TCO/ROI, dan lain sebagainya.
Dengan memperhatikan secara sungguh‐sungguh keenam aspek tersebut, maka nischaya tata kelola teknologi informasi yang diinginkan agar keberadaannya dapat memberikan kontribusi signifikan kepada bisnis dapat terjamin penerapannya. Karena kerangka ini dipergunakan sebagai dasar implementasi ISO‐38500, maka setiap perusahaan perlu patuh pada setiap butir pengendalian yang tercantum/termaktub di dalamnya.