Pertemuan 2 Praktik Terbaik dari Tata Kelola TI di Perusahaan
BEST PRACTICES TATA KELOLA TI DI PERUSAHAAN Titien S. Sukamto Pengantar
- Meskipun high-level model tata kelola telah dikembangkan, belum tentu tata kelola tersebut benar-benar berhasil diterapkan. Pemahaman model tata kelola merupakan langkah pertama, selanjutnya adalah menyebarluaskan dan menjalankan tata kelola tersebut kepada seluruh lapisan organisasi. Agar langkah ini berhasil, tata kelola perlu dijalankan dengan menggabungkan beberapa struktur, proses dan mekanisme relasional.
- Struktur Tata kelola TI terdiri dari unit-unit dalam organisasi dan peran tanggungjawab untuk membuat keputusan tentang hal-hal berkaitan dengan TI, serta memungkinkan fungsi komunikasi antara manajemen bisnis dan TI.
- Hal tersebut merupakan blueprint/gambaran mengenai bagaimana struktur organisasi dari kerangka kerja Tata Kelola TI.
- Berhubungan dengan proses formalisasi dan institusional dari strategi pembuat keputusan TI atau prosedur monitoring TI, untuk menjamin bahwa aktivitas sehari- hari dalam organisasi berjalan secara konsisten dengan kebijakan dan menghasilkan informasi yang akan digunakan dalam proses pengambilan keputusan
- Membahas mengenai partisipasi aktif dari, dan kolaborasi antara, eksekutif organisasi, terutama manajemen TI dan bisnis.
- Mulai dari pengumuman, dukungan, penyaluran serta pelatihan.
- Banyak penelitian menyebutkan bahwa ini merupakan bagian yang paling penting dalam kerangka kerja Tata Kelola TI, untuk mencapai keselarasan bisnis dan TI secara berkelanjutan
- Terdapat beberapa hal yang perlu diperhatikan dalam praktik implementasi Tata Kelola TI : a.
Mengadopsi pendekatan enterprise yang lebih luas
Bisnis dan TI harus bekerja bersama-sama untuk mendefinisikan dan
mengendalikan kebutuhan bisnis- TI perlu untuk mengembangkan sebuah model pengendalian yang dapat digunakan oleh semua divisi di organisasi
- Pendekatan komite direkomendasikan dalam mengatur, menyetujui dan mengawasi kebijakan
b. Komitmen TOP Level Management
- Tata Kelola TI perlu sebuah mandat dan arahan dari dewan direksi/Eksekutif Level
management Pastikan manajemen bertanggungjawab dalam bisnis dan TI yang telah ditetapkan • Cont...
c. Model Tata Kelola dan Pengendalian yang disepakati bersama
- Meskipun akan menjadi tantangan serta dorongan, kerangka kerja yang disepakati bersama untuk mendefinisikan proses-proses TI dan pengendalian, harus didefinisikan, agar tata kelola berjalan dengan baik
- Proses tata Kelola TI perlu untuk diintegrasikan dengan praktik tata kelola perusahaan, sehingga Tata Kelola TI tidak hanya menjadi milik proses-proses TI saja
- Kerangka kerja perlu untuk didukung dengan komunikasi yang efektif dan kesadaran, sehingga tujuan dapat dimengerti
d. Rasa percaya dibutuhkan untuk mendapatkan fungsi TI sepenuhnya (internal/external)
- Agar Tata Kelola TI dapat bekerja pada suplier dan penyedia layanan TI lainnya, serta
tahu bagaimana caranya agar dapat selaras dengan permintaan konsumen, rasa
percaya harus dikembangkan dengan cara apapun. Contohnya, melalui awareness program, workshop, direktur TI bertindak sebagai jembatan antara bisnis dan TI
e. Sistem pengukuran yang akan menjamin tujuan selalu dipantau
- Menciptakan scorecard TI, yang akan mendukung dan memperkuat pencapaian tujuan tata kelola TI
Menciptakan langkah awal pengukuran yang dapat meningkatkan kesadaran dan inisiasi
terhadap program Tata kelola TI- Kegunaan pengukuran harus dalam ranah bisnis dan disetujui oleh stakeholder f.
Fokus pada biaya
Bagaimana Cara Implementasi Tata kelola
TICritical Factor ITG
- Penetapan tujuan yang jelas
- Komitmen dari senior management
- Perubahan manajemen bisnis
- Fokus, jalankan dan perkuat
- Target dan harapan yang terukur
1. ITIL (The Infrastructure Library)
ITIL dikembangkan oleh The Office of Government Commerce (OGC), yaitu suatu badan di bawah pemerintah Inggris, yang bekerja sama dengan The IT Service
Management Forum (ITSMF).
Merupakan suatu organisasi independen mengenai manajemen pelayanan TI dan British Standard Institute (BSI), suatu badan penetapan standar pemerintah Inggris. ITIL cont...
- ITIL adalah serangkaian dokumen yang digunakan untuk membantu implementasi dari sebuah kerangka kerja untuk pengelolaan layanan teknologi informasi.
- Kerangka kerja ini menjelaskan bagaimana pengelolaan layanan yang terintegrasi, berbasiskan proses, dan praktik-praktik terbaik yang ditetapkan di dalam organisasi
ITIL Framework cont...
7 Fokus area dalam ITIL.
1. Service Support :
- menggambarkan komponen-komponen yang berkaitan dengan penyediaan stabilitas dan fleksibilitas untuk layanan TI.
- Area ini berhubungan dengan identifikasi dan merekam konfigurasi TI seperti barang, kejadian, masalah, dan perubahan. Area ini melingkupi layanan, pengelolaan kejadian, pengelolaan masalah, •
2. Service Delivery
Mendeskripsikan proses yang dibutuhkan untuk menghantarkan layanan TI yang
berkualitas dan efektif dari segi biaya.• Area ini melingkupi pengelolaan ketersediaan, kapasitas, kelangsungan layanan TI,
tingkat layanan dan keuangan untuk layanan TI
3
. Security Management
Area ini melingkupi keamanan dari penyedia layanan TI dan mengidentifikasi bagaimana pengelolaan keamanan berhubungan dengan petugas keamanan TI
5. ICT Infrastructure Management
Area ini melingkupi pengelolaan layanan jaringan, operasi, proses lokal, instalasi • perangkat dan penerimaan, serta pengelolaan sistem 6 . Application Management
Area ini melingkupi dukungan lifecycle, pengujian dari layanan TI dan perubahan bisnis dengan penekanan pada kebutuhan yang jelas, definisi dan implementasi dari solusi untuk memenuhi kebutuhan bisnis pengguna
- Fokus pada 3 tujuan utama : 1.
Menyelaraskan layanan TI dengan kebutuhan sekarang dan akan datang dari bisnis dan pelanggannya
2. Memperbaiki kualitas layanan TI 3.
Mengurangi biaya jangka panjang dari pengelolaan layanan TI tersebut
Standar ITIL fokus pada pelayanan kepada konsumen dan sama sekali tidak menyertakan
proses penyelarasan strategi bisnis dan strategi TIBest Practices Guideline cont...
2. ISO/IEC 17799
ISO/IEC 17799 dikembangkan oleh The International Organization for Standardization (ISO) dan The International Electrotechnical Commission (IEC).
ISO/IEC 17799 bertujuan untuk memperkuat 3 elemen dasar keamanan informasi, yaitu :
1. confidentiality, memastikan bahwa informasi hanya dapat diakses oleh user ISO/IEC 17799 cont...
Domain dalam ISO/IEC 17799 1.
Security Policy, memberikan panduan dan masukan pengelolaan dalam
meningkatkan keamanan informasi 2.
Organizational Security, memfasilitasi pengelolaan keamanan informasi dalam
organisasi 3.
Asset classification and control, melakukan inventarisasi aset dan melindungi
aset tersebut dengan efektif Domain ISO/IEC 17799 cont...
6. Communications and operations management, memastikan penggunaan yang baik dan selayaknya dari perangkat pemroses informasi
7. Access control, mengendalikan akses informasi
8. Systems development and maintenance, memastikan bahwa keamanan telah terintegrasi dalam sistem informasi yang ada
9. Business continuity management, meminimalkan dampak dari terhentinya proses
Best Practices Guideline cont...
COSO (Committee of Sponsoring Organization of the Treadway Commission) COSO merupakan sebuah organisasi di Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan finansial, mencakup etika bisnis, kontrol internal dan corporate governance.
Pertama kali didirikan, menghasilkan COSO Framework yang digunakan untuk mengevaluasi efektivitas pemgendalian internal suatu perusahaan. COSO cont...
Kerangka kerja COSO, terdiri atas 3 dimensi: 1.
Komponen kontrol COSO.
- COSO mengidentifikasi 5 komponen pengendalian yang diintegrasikan dan dijalankan di semua unit bisnis, dan akan membantu mencapai sasaran kendali internal, yakni
monitoring, information and communications, control activities, risk assessment dan control environment.
2. Sasaran Pengendalian Internal
Best Practices Guideline cont...
COBIT (Control Objectives for Information and Related Technology)
- COBIT Framework dikembangkan oleh IT Governance Institute (ITGI), sebuah organisasi yang melakukan studi tentang model pengelolaan TI yang berbasis di Amerika Serikat.
- COBIT berorientasi pada bisnis dan dirancang serta dikerjakan tidak hanya oleh user dan auditor, tetapi juga dapat digunakan sebagai panduan komprehensif bagi pihak manajemen
- COBIT 4.1 memiliki 4 Domain :
Plan and Organise (PO). Domain yang mencakup masalah strategi, taktik dan identifikasi • cara terbaik TI untuk memberikan kontribusi maksimal terhadap pencapaian tujuan bisnis organisasi
- Acquire and Implement (AI). Domain ini meliputi peubahan dan perawatan yang
dibutuhkan sistem yang sedang berjalan, untuk memastikan siklus hidup sistem tersebut tetap terjaga
Deliver and Support (DS). Mencakup proses pemenuhan layanan TI, keamanan sistem,
- COBIT memiliki Maturity Model untuk mengendalikan proses-proses TI. Model kematangan ini didasarkan pada metode evaluasi organisasi.
- Model kematangan terdiri dari 6 level mulai dari level 0 hingga level 5. Skala Non- existent hingga Optimized.
- Model kematangan ini akan memetakan :
Current status dari organisasi, untuk melihat posisi organisasi saat ini •
- Current status dari kebanyakan industri saat ini, sebagai perbandingan
Best Practices Guideline cont...
Val IT
- Val IT terhitung merupakan framework baru yang dikembangkan oleh ITGI. Fokus utamanya adalah letak tanggungjawab bisnis dalam menciptakan nilai dari • TI.
- Val IT merupakan pendukung COBIT, sehingga memiliki struktur dan template yang sama dengan yang ada pada COBIT.
- Prinsip Val IT 1.
IT-enabled Investment
- Dikelola sebagai portofolio investasi
- Terdiri dari ruang lingkup dari aktivitas yang diperlukan untuk mencapai business value
- Dikelola melalui siklus ekonomi 2.
Value-delivery practices Referensi
- Materi kuliah oleh M. Arief Soeleman
- Kridanto Surendro. Implementasi Tata Kelola Teknologi Informasi. 2009
- Wim Van Grembergen &Steven De Haes. Enterprise Governance of Information Technology. 2009
- National Computing Centre. Developing Succesful Governance Strategy. 2005