Tata Kelola Teknologi Informasi Risk M
RISK MANAGEMENT
TATA KELOLA TEKNOLOGI INFORMASI
NIM
: 13410100079
Nama
: Andhika Maheva Wicaksono
Porgram Studi
: Sistem Informasi
Fakultas
: Teknologi dan Informatika
INSTITUT BISNIS DAN INFORMATIKA STIKOM
SURABAYA
2015
A. Tata Kelola Teknologi Informasi
Tata Kelola Teknologi Informasi atau Information Technology Governance adalah
suatu struktur hubungan dan proses yang mengarahkan serta mengendalikan organisasi
untuk mencapai tujuannya dengan menambahkan beberapa nilai ketika menyeimbangkan
risiko dibandingkan dengan Teknologi Informasi (TI) dan prosesnya. Berdasarkan IT
Governance Institute (TIGI) TKTI merupakan suatu tanggung jawab dari pimpinan
organisasi serta eksekutif manajemen.
Tata Kelola Teknologi Informasi (TKTI) membantu memastikan organisasi memiliki
keselarasan antara Teknologi Informasi dan tujuan dari perusahaan. Perusahaan diatur
dengan menggunakan praktek – praktek yang baik atau terbaik yang berlaku secara
umum yang merupakan jaminan yang disediakan oleh kontrol tertentu. Tata Kelola pada
perusahaan yang efektif dan efisien berfokus pada keahlian individu dan kelompok serta
pengalaman pada bidang tertentu dimana mereka dapat paling efektif. Selain itu,
teknologi informasi yang dahulu dianggap hanya sebagai enabler strategi organisasi,
sekarang dianggap sebagai bagian integral dari strategi perusahaan dan eksekutif
perusahaan harus menyetujui bahwa keselarasan strategis antara teknologi informasi dan
tujuan perusahaan merupakan faktor penentu keberhasilan perusahaan dalam mencapai
tujuan yang telah ditetapkan.
B. Kerangka Kerja Tata Kelola TI
Dalam penerapan TKTI, perusahaan dapat menggunakan Kerangka Kerja atau
Framework yang dapat mempermudah dalam melakukan pengelolaan TI pada perusahaan.
Kerangka kerja tata kelola teknologi informasi memiliki peranan serta fungsi pada
masing – masing tujuan organisasi. Pada dasarnya peranan dan fungsi utama dari tata
kelola teknologi informasi meliputi dua hal pokok, yaitu : pengaturan (govern) dan
pengelolaan (manage). Pada pengaturan (govern) meliputi hal – hal apa saja yang
mendasari tata kelola tersebut yang ditentukan oleh pendefinisian strategi dan kontrol
perusahaan. Framework yang masuk dalam cakupan tata kelola ini adalah COBIT.
Sedangkan bagaimana tata kelola dilaksanakan merupakan cakupan pengelolaan (manage)
yang ditentukan oleh rencana taktis dan eksekutif.
1
C. Tata Kelola TI dan Tata Kelola Perusahaan
Tata kelola perusahaan berfungsi mengarahkan dan mengendalikan entitas – entitas
pada suatu perusahaan. Berdasarkan pada penjelasan yang telah diuraikan diatas bahwa
TKTI merupakan tanggung jawab dari dewan direksi dan manajemen eksekutif, oleh
sebab itu tata kelola teknologi informasi harus menjadi bagian yang tidak terpisahkan dari
tata kelola perusahaan.
D. COBIT Framework
Control Objective for Information and related Technology (COBIT) adalah panduan
standar dalam praktik manajemen teknologi informasi. COBIT dirancang sebagai alat
untuk membantu perusahaan dalam mengelola risiko, manfaat dan evaluasi yang
berhubungan dengan penerapan IT pada bisnis perusahaan. Standar COBIT dikeluarkan
dari IT Governance Institute yang merupakan bagian dari ISACA. COBIT digambarkan
dengan model proses yang membagi teknologi informasi menjadi 4 bagian dan 32 proses
serta merangkum 210 detailed control objective sesuai bidang tanggung jawab.
E. Kerangka Kerja COBIT
Agar dapat memahami cara kerja COBIT, perlu diketahui bahwa COBIT memiliki
karakteristik utama. Adapaun karakteristik utama dari kerangka kerja COBIT adalah
fokus pada bisnis, orientas pada proses, berbagai kontrol serta pengendalian oleh
pengukuran. Secara keseluruhan, kerangka kerja COBIT dapat dilihat pada gambar
berikut :
2
Framework Cobit 4.1 Versi Bahasa Indonesia
Pada COBIT memiliki maturity level (Tingkat Kematangan). Model kematangan
untuk pengelolaan dan pengendalian pada proses penerapan teknologi informasi
didasarkan pada metode evaluasi organisasi sehingga dapat mengevaluasi sendiri dari
level tidak ada (0) hingga optimis (5). Model kematangan ini dimaksudkan guna
mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas
peningkatan.
3
F. Tata Kelola IT dan Manajemen Risiko
Pada dasarnya area tata kelola dapat dibagi menjadi tiga bagian yaitu : Enterprise
Governance, Corporate Governance, dan IT Governance.
-
Enterprise Governance dapat didefinisikan sebagai responsibilitas dan praktek
dari eksekutif manajemen dengan tujuan menyajikan arah tujuan organisasi,
memastikan tujuan tercapai dan risiko telah ditangani dengan benar serta
memverifikasi bahwa sumber daya yang digunakan adalah sumber daya yang
tepat dan efisien. (ITGI 2001)
-
Corporate Governance merupakan etika perusahaan atau kebiasaan perusahaan
dari manajemen tingkat atas atau bagian organisasi lainnya yang mengatur dan
mengatur dan memastikan bahwa tujuan tercapai serta memonitor risiko yang ada
dan bagaimana penanganannya.
-
IT Governance merupakan kesadaran dari direksi dan eksekutif manajamen
dalam memastikan bahwa penggunaan IT selaras dengan tujuan organisasi serta
strategi dalam mencapai tujuan organisasi tersebut. (ITGI 2001).
Dalam prakteknya tata kelola IT mendukung bisnis dan memberikan nilai tambah
melalui penerapan IT. Dalam rangka mencapai tujuan tata kelola IT tersebut terdapat lima
prinsip yang harus ada (ITGI 2001) :
1. IT Strategic alignment
2. Value delivery
3. Risk management
4. Resource management
5. Performance measurement
G. Manajemen Risiko
Manajemen risiko merupakan proses mengidentifikasi kerentanan dan ancaman dari
kerangka kerja organisasi sebagai struktur prosedur dalam meminimalisir dampak dari
penggunaan sumber daya IT. Risiko pada tingkat organisasi tidak bisa dihilangkan
melainkan akan tetap ada sepanjang waktu. Manajemen organisasi bertanggung jawab
dengan meminimalkan ke tingkat yang dapat diterima sesuai dengan ketentuang yang
4
ada.
Manajemen risiko harus menjadi proses yang berkesinambungan yang dimulai
dengan menilai tingkat paparan organisasi dan mengidentifikasi risiko insiden utama.
Setelah risiko tersebut dapat diidentifikasi, risiko harus diminimalkan dengan
menggunakan prosedur kontrol dan akhirnya risiko residual harus disesuaikan dengan
tingkat yang dapat diterima.
Dalam praktek tata kelola untuk manajemen risiko TI terdapat beberapa proses antara
lain :
a. Menganalisis dan menilai risiko TI
b. Memonitor efisiensi pengendalian internal
c. Menerapkan kontrol yang diperlukan untuk meminimalkan risiko TI
d. Memasukkan risiko ke dalam prosedur untuk memastikan transparansi dari risiko
yang signifikan pada perusahaan
e. Menanambakn bahwa pendekatan manajemen risiko proaktif dapat menciptakan
keunggulan kompetitif
f. Mengupayakan bahwa manajemen risiko tertanam dalam operasi organisasi
g. Memastikan bahwa manajemen telah menempatkan proses, teknologi, dan
jaminan di tempat untuk keamanan informasi
meliputi : transaksi bisnis yang
dapat dipercaya, layanan IT dapat digunakan serta tepat menahan serangan dan
pulih dari kegagalan, informasi kritis didapat dari orang – orang yang seharusnya
tidak memiliki akses pada informasi tersebut.
H. Proses Manajemen Risiko
Pada dasarnya dalam melakukan manajemen resiko sekurang – kurangnya memiliki
beberapa proses meiliputi :
a. Identifikasi risiko
b. Pengukuran dan analisis risiko
c. Pemilihan metode pengelolaan risiko
d. Implementasi metode pengelolaan risiko
e. Evaluasi terhadap implementasi metode pengelolaan risiko
f. Pelaporan manajemen risiko
5
Daftar Pustaka
Diarina, Yulia. 2011. Yulia Diarina: Implementasi COBIT Dalam Pengelolaan Moodle di E-Learning.
27 12. Diakses 3 3, 2016.
http://blogs.itb.ac.id/djadja/2011/12/27/yulia-diarina-implementasi-cobit-dalam-pengelolaanmoodle-di-e-learning/.
GHEORGHE, Mirela. t.thn. “Risk Management in IT Governance Framework.” 545-552.
ITGI. 2001. Board Briefing on IT Governance. http://www.itgi.org.
Modissa, Shelvi. t.thn. “Penerapan Tata Kelola Teknologi Informasi dengan Menggunakan Cobit
Framework 4.1 (Studi Kasus Pada The Arista Hotel Palembang).” JTI 1-9.
Utomo, Agus Prasetyo, dan Novita Mariana. 2011. “Analisis Tata Kelola Teknologi Informasi ( It
Governance ) pada Bidang Akademik dengan Cobit Frame Work Studi Kasus pada
Universitas Stikubank Semarang.” JTI 139-149.
Wahono, Buang Budi. 2015. “Perancangan Tata Kelola Teknologi Informasi Untuk Peningkatan
Layanan Sistem Informasi Kesehatan (Studi Kasus Dinas Kesehatan Kabupaten Jepara).”
SIMETRIS 101-110.
6
TATA KELOLA TEKNOLOGI INFORMASI
NIM
: 13410100079
Nama
: Andhika Maheva Wicaksono
Porgram Studi
: Sistem Informasi
Fakultas
: Teknologi dan Informatika
INSTITUT BISNIS DAN INFORMATIKA STIKOM
SURABAYA
2015
A. Tata Kelola Teknologi Informasi
Tata Kelola Teknologi Informasi atau Information Technology Governance adalah
suatu struktur hubungan dan proses yang mengarahkan serta mengendalikan organisasi
untuk mencapai tujuannya dengan menambahkan beberapa nilai ketika menyeimbangkan
risiko dibandingkan dengan Teknologi Informasi (TI) dan prosesnya. Berdasarkan IT
Governance Institute (TIGI) TKTI merupakan suatu tanggung jawab dari pimpinan
organisasi serta eksekutif manajemen.
Tata Kelola Teknologi Informasi (TKTI) membantu memastikan organisasi memiliki
keselarasan antara Teknologi Informasi dan tujuan dari perusahaan. Perusahaan diatur
dengan menggunakan praktek – praktek yang baik atau terbaik yang berlaku secara
umum yang merupakan jaminan yang disediakan oleh kontrol tertentu. Tata Kelola pada
perusahaan yang efektif dan efisien berfokus pada keahlian individu dan kelompok serta
pengalaman pada bidang tertentu dimana mereka dapat paling efektif. Selain itu,
teknologi informasi yang dahulu dianggap hanya sebagai enabler strategi organisasi,
sekarang dianggap sebagai bagian integral dari strategi perusahaan dan eksekutif
perusahaan harus menyetujui bahwa keselarasan strategis antara teknologi informasi dan
tujuan perusahaan merupakan faktor penentu keberhasilan perusahaan dalam mencapai
tujuan yang telah ditetapkan.
B. Kerangka Kerja Tata Kelola TI
Dalam penerapan TKTI, perusahaan dapat menggunakan Kerangka Kerja atau
Framework yang dapat mempermudah dalam melakukan pengelolaan TI pada perusahaan.
Kerangka kerja tata kelola teknologi informasi memiliki peranan serta fungsi pada
masing – masing tujuan organisasi. Pada dasarnya peranan dan fungsi utama dari tata
kelola teknologi informasi meliputi dua hal pokok, yaitu : pengaturan (govern) dan
pengelolaan (manage). Pada pengaturan (govern) meliputi hal – hal apa saja yang
mendasari tata kelola tersebut yang ditentukan oleh pendefinisian strategi dan kontrol
perusahaan. Framework yang masuk dalam cakupan tata kelola ini adalah COBIT.
Sedangkan bagaimana tata kelola dilaksanakan merupakan cakupan pengelolaan (manage)
yang ditentukan oleh rencana taktis dan eksekutif.
1
C. Tata Kelola TI dan Tata Kelola Perusahaan
Tata kelola perusahaan berfungsi mengarahkan dan mengendalikan entitas – entitas
pada suatu perusahaan. Berdasarkan pada penjelasan yang telah diuraikan diatas bahwa
TKTI merupakan tanggung jawab dari dewan direksi dan manajemen eksekutif, oleh
sebab itu tata kelola teknologi informasi harus menjadi bagian yang tidak terpisahkan dari
tata kelola perusahaan.
D. COBIT Framework
Control Objective for Information and related Technology (COBIT) adalah panduan
standar dalam praktik manajemen teknologi informasi. COBIT dirancang sebagai alat
untuk membantu perusahaan dalam mengelola risiko, manfaat dan evaluasi yang
berhubungan dengan penerapan IT pada bisnis perusahaan. Standar COBIT dikeluarkan
dari IT Governance Institute yang merupakan bagian dari ISACA. COBIT digambarkan
dengan model proses yang membagi teknologi informasi menjadi 4 bagian dan 32 proses
serta merangkum 210 detailed control objective sesuai bidang tanggung jawab.
E. Kerangka Kerja COBIT
Agar dapat memahami cara kerja COBIT, perlu diketahui bahwa COBIT memiliki
karakteristik utama. Adapaun karakteristik utama dari kerangka kerja COBIT adalah
fokus pada bisnis, orientas pada proses, berbagai kontrol serta pengendalian oleh
pengukuran. Secara keseluruhan, kerangka kerja COBIT dapat dilihat pada gambar
berikut :
2
Framework Cobit 4.1 Versi Bahasa Indonesia
Pada COBIT memiliki maturity level (Tingkat Kematangan). Model kematangan
untuk pengelolaan dan pengendalian pada proses penerapan teknologi informasi
didasarkan pada metode evaluasi organisasi sehingga dapat mengevaluasi sendiri dari
level tidak ada (0) hingga optimis (5). Model kematangan ini dimaksudkan guna
mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas
peningkatan.
3
F. Tata Kelola IT dan Manajemen Risiko
Pada dasarnya area tata kelola dapat dibagi menjadi tiga bagian yaitu : Enterprise
Governance, Corporate Governance, dan IT Governance.
-
Enterprise Governance dapat didefinisikan sebagai responsibilitas dan praktek
dari eksekutif manajemen dengan tujuan menyajikan arah tujuan organisasi,
memastikan tujuan tercapai dan risiko telah ditangani dengan benar serta
memverifikasi bahwa sumber daya yang digunakan adalah sumber daya yang
tepat dan efisien. (ITGI 2001)
-
Corporate Governance merupakan etika perusahaan atau kebiasaan perusahaan
dari manajemen tingkat atas atau bagian organisasi lainnya yang mengatur dan
mengatur dan memastikan bahwa tujuan tercapai serta memonitor risiko yang ada
dan bagaimana penanganannya.
-
IT Governance merupakan kesadaran dari direksi dan eksekutif manajamen
dalam memastikan bahwa penggunaan IT selaras dengan tujuan organisasi serta
strategi dalam mencapai tujuan organisasi tersebut. (ITGI 2001).
Dalam prakteknya tata kelola IT mendukung bisnis dan memberikan nilai tambah
melalui penerapan IT. Dalam rangka mencapai tujuan tata kelola IT tersebut terdapat lima
prinsip yang harus ada (ITGI 2001) :
1. IT Strategic alignment
2. Value delivery
3. Risk management
4. Resource management
5. Performance measurement
G. Manajemen Risiko
Manajemen risiko merupakan proses mengidentifikasi kerentanan dan ancaman dari
kerangka kerja organisasi sebagai struktur prosedur dalam meminimalisir dampak dari
penggunaan sumber daya IT. Risiko pada tingkat organisasi tidak bisa dihilangkan
melainkan akan tetap ada sepanjang waktu. Manajemen organisasi bertanggung jawab
dengan meminimalkan ke tingkat yang dapat diterima sesuai dengan ketentuang yang
4
ada.
Manajemen risiko harus menjadi proses yang berkesinambungan yang dimulai
dengan menilai tingkat paparan organisasi dan mengidentifikasi risiko insiden utama.
Setelah risiko tersebut dapat diidentifikasi, risiko harus diminimalkan dengan
menggunakan prosedur kontrol dan akhirnya risiko residual harus disesuaikan dengan
tingkat yang dapat diterima.
Dalam praktek tata kelola untuk manajemen risiko TI terdapat beberapa proses antara
lain :
a. Menganalisis dan menilai risiko TI
b. Memonitor efisiensi pengendalian internal
c. Menerapkan kontrol yang diperlukan untuk meminimalkan risiko TI
d. Memasukkan risiko ke dalam prosedur untuk memastikan transparansi dari risiko
yang signifikan pada perusahaan
e. Menanambakn bahwa pendekatan manajemen risiko proaktif dapat menciptakan
keunggulan kompetitif
f. Mengupayakan bahwa manajemen risiko tertanam dalam operasi organisasi
g. Memastikan bahwa manajemen telah menempatkan proses, teknologi, dan
jaminan di tempat untuk keamanan informasi
meliputi : transaksi bisnis yang
dapat dipercaya, layanan IT dapat digunakan serta tepat menahan serangan dan
pulih dari kegagalan, informasi kritis didapat dari orang – orang yang seharusnya
tidak memiliki akses pada informasi tersebut.
H. Proses Manajemen Risiko
Pada dasarnya dalam melakukan manajemen resiko sekurang – kurangnya memiliki
beberapa proses meiliputi :
a. Identifikasi risiko
b. Pengukuran dan analisis risiko
c. Pemilihan metode pengelolaan risiko
d. Implementasi metode pengelolaan risiko
e. Evaluasi terhadap implementasi metode pengelolaan risiko
f. Pelaporan manajemen risiko
5
Daftar Pustaka
Diarina, Yulia. 2011. Yulia Diarina: Implementasi COBIT Dalam Pengelolaan Moodle di E-Learning.
27 12. Diakses 3 3, 2016.
http://blogs.itb.ac.id/djadja/2011/12/27/yulia-diarina-implementasi-cobit-dalam-pengelolaanmoodle-di-e-learning/.
GHEORGHE, Mirela. t.thn. “Risk Management in IT Governance Framework.” 545-552.
ITGI. 2001. Board Briefing on IT Governance. http://www.itgi.org.
Modissa, Shelvi. t.thn. “Penerapan Tata Kelola Teknologi Informasi dengan Menggunakan Cobit
Framework 4.1 (Studi Kasus Pada The Arista Hotel Palembang).” JTI 1-9.
Utomo, Agus Prasetyo, dan Novita Mariana. 2011. “Analisis Tata Kelola Teknologi Informasi ( It
Governance ) pada Bidang Akademik dengan Cobit Frame Work Studi Kasus pada
Universitas Stikubank Semarang.” JTI 139-149.
Wahono, Buang Budi. 2015. “Perancangan Tata Kelola Teknologi Informasi Untuk Peningkatan
Layanan Sistem Informasi Kesehatan (Studi Kasus Dinas Kesehatan Kabupaten Jepara).”
SIMETRIS 101-110.
6