Bab 1 Pengantar Tatakelola Teknologi Informasi

1. Nilai Strategis TI
TI tidak lagi dipandang hanya sebagai pendukung tetapi
bagian dari strategi bisnis, termasuk: (1) Kunci penghematan
biaya operasi untuk transaksi-transaksi bervolume tinggi. (2)
Menjadi enabler bagi inovasi layanan/produk baru bagi
konsumen atau masyarakat. (3) Pengintegrasi proses-proses
bisnis organisasi.
TI berpotensi mentransformasikan bisnis atau bahkan sektor
industri.
2. Memastikan Manfaat
Sayangnya, besarnya investasi (biaya, waktu dan tenaga) di
bidang TI sering tidak diimbangi dengan manfaatnya.
Memastikan kemanfaatan TI bagi organisasi adalah
tanggung-jawab pimpinan (tertinggi) organisasi, melalui Tata
Kelola TI:
Pertanggung-jawaban eksekutif dan direksi yang
melibatkan kepemimpinan, struktur organisasi dan proses
dalam memastikan bahwa TI menjadi pendukung dan
pendorong strategi pencapaian tujuan organisasi (ITGI)
3. Definisi Tata Kelola TI
Tatakelola TI adalah penerapan mekanisme tatakelola:
struktur peran, proses/prosedur, dan mekanisme relasional
untuk memastikan bahwa TI dikelola sesuai dengan kebutuhan
dan strategi organisasi (Van Grembergen).
Tata Kelola TI (IT Governance) adalah bagian dari Tata Kelola
Perusahaan yang Baik (Good Corporate Governance) di bidang
TI.
4. Governance vs Management
Tata Kelola TI adalah Penataan Pengelolaan TI.
Tata kelola vs Pengelolaan:
Governance Management
Perspektif: eksternal
dan internal organisasi
Perspektif: internal organisasi
Lingkup: seluruh
organisasi
Lingkup: departemen dan
individual
Orientasi: masa depan Orientasi : masa sekarang
Level: strategis Level: operasional & proyek
Sasaran: realisasi
manfaat
Sasaran: minimasi biaya dan
maksimasi kualitas
Fokus optimasi:
ketepatan investasi
Fokus optimasi: ketepatan
penggunaan anggaran
Posisi: pendelegasian Posisi: keterlibatan langsung
5. Lingkup Tatakelola TI

Tatakelola TI mengontrol semua tahapan dalam siklus hidup
solusi TI untuk menjaga keselarasan antara TI dengan tujuan
dan strategi organisasi.
6. Mengapa TI Perlu Dikontrol
Investasi bidang TI relatif sangat mahal
Nomor dua setelah belanja pegawai.
Selain pengadaan/implementasi, ada biaya operasional dan
pemeliharaan (termasuk sistem-sistem yang tidak berhasil).
Seringkali anggaran TI tersebar / terisolasi di berbagai satuan
kerja (unit).
Dampak kegagalan TI (risiko) berpotensi
mematikan kelangsungan bisnis.
7. Gejala TI Tidak Terkontrol
(a) Manajemen bisnis dan manajemen TI jarang atau tidak
saling berkomunikasi. (b) Pimpinan unit TI tidak memahami
kebutuhan bisnis. (c) Pimpinan unit bisnis tidak memahami
potensi inovasi berbasis TI. (d) Tidak adanya rasa memiliki
pimpinan bisnis terhadap inisiatif TI. (e) Pengelolaan TI terlalu
birokratis dan lamban untuk mengakomodasi kebutuhan
bisnis. (f) Implementasi-implementasi TI sering gagal dalam
memenuhi kebutuhan bisnis atau terlambat dalam
penyelesaiannya dan melampaui anggaran yang disediakan. (g)
Risiko pemanfaatan TI tidak dipahami atau dikelola secara
efektif sebagai bagian dari risiko bisnis. (h) Kegagalan unit TI
organisasi untuk mematuhi ketentuan regulator atau kontrak
dengan penggunanya. (i) Tolok ukur keberhasilan unit TI tidak
ada artinya bagi unit bisnis pengguna.
8. Alasan Kurangnya Kontrol
Keengganan eksekutif bisnis:
(a) TI dianggap sebagai bagian terpisah dari fungsi bisnis:
hanya sebagai dukungan teknis. (b) TI dianggap terlalu teknis
(kompleks) bagi eksekutif bisnis untuk dibahas.
Tanpa komitmen pimpinan bisnis,
pemanfaatan TI akan sulit berhasil
Tidak adanya keterlibatan pengguna dalam perancangan
Munculnya konflik akibat perubahan pola kerja karena
penerapan TI.
9. Lima Fokus Utama
(1) Strategic Alignment Harmonisasi antara kemampuan TI
organisasi
dengan tuntutan bisnis organisasi. (2) Value Delivery
Penciptaan solusi TI yang bernilai tambah bagi organisasi. (3)
Risk Management Pengelolaan risiko-risiko penerapan TI
sebagai risiko bisnis organisasi. (4) Resource Management
Pengelolaan aset TI organisasi secara tepat guna. (5)
Performance Measurement Penyempurnaan layanan
melalui pengukuran kinerja layanan TI.
10. Peran-peran Utama
Dirut & Komisaris: (1) Memberikan pengarahan strategis,
untuk memastikan bahwa TI berkontribusi pada pencapaian
tujuan-tujuan strategis organisasi. (2) Memantau pengelolaan
sumber daya TI, termasuk pengelolaan risikonya. (3)
Mengevaluasi laporan kinerja TI.
Manajemen Puncak: Penanggung-jawab harian kegiatan
tatakelola TI.
Chief Information Officer (CIO): Sebagai penghubung
antara bisnis dengan TI: TI memahami kebutuhan bisnis &
bisnis memahami potensi TI.
Pimpinan Unit Usaha (Satuan Kerja): (1) Sebagai pemilik
sekaligus sponsor inisiatif (2) inisiatif TI. (3) Keterlibatannya
sejak awal (dari tahap perencanaan) merupakan salah satu
kunci keberhasilan.
11. Faktor Hubungan TI-Bisnis
Tuntutan tingkat kemapanan tatakelola TI
organisasibervariasi sesuai peran TI bagi organisasi tsb (Duffy):

lvl Label Karakteristik
1 Buruh Merespon terhadap permintaan
pengguna tanpa tahu dasar
pertimbangannya.
2 Kontr
aktor
Memiliki rencana pengembangan TI
untuk
mendukung kebutuhan organisasi.
3 Konsu
ltan
Bersama-sama dengan organisasi
penggunanya menyusun rencana
strategis pengembangan TI.
4 Partn
er
TI merupakan bagian yang tidak
terpisahkan dari strategi organisasi.
Penerapan tatakelola TI membutuhkan biaya.
Bab 2 Tatakelola Dalam Pengambilan Keputusan TI
1. Tatakelola TI di Perusahaan Sukses
Tata kelola TI adalah indikator terkuat dari tingginya nilai
manfaat TI suatu organisasi (hasil penelitian Weill & Ross).
Efektivitas pemanfaatan TI jarang dikarenakan produktivitas
staf TI yang tinggi, tetapi lebih karena ketepatan keputusan-
keputusanTI, dengan: (1) Melibatkan pihak-pihak terkait (di
luar bagian TI) dalam pengambilan keputusan (2)
Menggunakan prosedur yang tepat (obyektif, berimbang, dsb)
untuk mengambil keputusan (3) Dengan tindak lanjut yang ter-
rencana/pantau/evaluasi.
Karakteristik tatakelola TI perusahaan sukses (Weill & Ross
2004): (1) Menyatakan dengan jelas strategi bisnis perusahaan
dan peran TI untuk mencapainya. (2) Merencanakan investasi
TI dan mengukur manfaat dari penerapan hasil investasi tsb.
(3) Menunjuk penanggung-jawab perombakan bisnis untuk
dapat memanfaatkan keunggulan TI. (4) Kesinambungan
upaya: memanfaatkan hasil dari proyek implementasi TI
sebelumnya untuk membangun kemampuan baru.
2. Inti Tatakelola TI
Definisi Weill & Ross 2004: IT Governance specifies the
decision rights and accountability framework to encourage
desirable behavior in using IT.
Pengertian: Fokus tatakelola TI bukan pada hasil keputusan,
tetapi pada siapa yang secara sistematis memutuskan dan
memberikan masukan pada pengambilan keputusan, serta
mekanisme yang dapat menjaga agar perilaku mereka selaras
dengan misi, strategi, dan nilai-nilai perusahaan.
3. Norma & Budaya
Perilaku organisasi (keyakinan dan kebiasaan) seharusnya
mencerminkan pernyataan tentang nilai-nilai, prinsip-prinsip,
misi, dan strategi.
Tatakelola TI menerapkan norma untuk membentuk kultur
yang sesuai dengan misi, visi, dan strategi perusahaan
Norma: Aturan, termasuk kewenangan dan akuntabilitas
dalam pengambilan keputusan
Kultur: Perilaku dalam kenyataannya.
4. Kultur vs Norma
Kultural: perilaku pengambilan keputusan dengan berbagai
kepentingan masing-masing.
Normatif: aturan (formal maupun informal) yang membentuk
pola perilaku tersebut.
5. Elemen Tatakelola TI
Tatakelola TI yang efektif mengatur:
What: Bidang-bidang keputusan apa saja yang harus dikenai
tata kelola untuk memastikan pemanfaatan TI yang efektif.
Who: Siapa yang memutuskannya (peran dan fungsi di
organisasi).
How: Bagaimana (prosedurnya) keputusan - keputusan tsb
harus diambil dan dimonitor pelaksanaannya.
6. Bidang Keputusan Kunci

7. Lima Bidang Keputusan Kunci

8. Prinsip-prinsip TI
Prinsip-prinsipTI merupakan arahan strategis bidang TI dalam
menjawab tujuan bisnis dalam pemanfaatan TI.
Perusahaan sukses dalam penerapan TI-nya meng-eksplisit-
kan prinsip-prinsip kunci tentang bagaimana perusahaan
memanfaatkan TI.
Prinsip-prinsipTI diterjemahkan dari prinsip-prinsip bisnis
yang merupakan inti sari dari strategi organisasi.
9. Arsitektur TI
Definisi Weill & Ross (2004): IT Architecture is the organizing
logic for data, applications, and infrastructure; captured in a
set of policies, relationships, and technical choices to achieve
desired business & technical standardization and integration.
Elemen kunci arsitektur TI: (1) Standarisasi proses, data, dan
pilihan teknologi. (2) Kebijakan tentang apa saja yang
termasuk infrastruktur dan yang suprastruktur(aplikasi):
dengan pertimbangan efisiensi dan fleksibilitas.
10. Infrastruktur TI
IT infrastructure is a Centrally Coordinated Set of Shared and
Reliable Services (Weill & Ross)
11. Infrastruktur TI sebagai Investasi
Perusahaan dengan kemampuan infrastruktur TI tinggi: (1)
Memiliki time to market, tingkat pertumbuhan, tingkat
penjualan dari produk baru yang tinggi. (2) Walaupun investasi
awalnya lebih besar.
Keputusan-keputusan tentang infrastruktur TI: (1) Siapa
pemilik layanan infrastruktur, pusat atau unit usaha. (2)
Apakah layanan infrastruktur di-outsource. (3) Kapan layanan
infrastruktur perlu di-upgrade.
12. Kebutuhan Aplikasi Bisnis
Dua tujuan yang bertolak belakang dalam identifikasi aplikasi
bisnis:
Kreatifitas. (1) Inovatif: mencari cara baru yang lebih efektif
untuk meningkatkan nilai tambah bagi konsumen atau
merealisasikan strategi bisnis. (2) Fokus pada bagaimana
meningkatkan efektivitas proses bisnis suatu unit.
Disiplin. Menjaga integritas/kontinuitas arsitektur: dibangun
dengan memanfaatkan atau menyesuaikan dengan apa yang
sudah dimiliki.
13. Investasi TI dan Prioritasi
Tiga issues utama keputusan investasi:
(1) Berapa total investasi yang harus dikeluarkan? (2) Investasi
untuk apa saja? (3) Bagaimana meng-akurkan kebutuhan
investasi unit-unit yang berbeda?
Berapa besar alokasi? (a) Dengan benchmarking di sektor
industri. (b) Perusahaan yang berhasil: anggaran disesuaikan
dengan peran strategis TI bagi perusahaan.
14. Portfolio Investasi TI
Penerapan manajemen portfolio dalam mengelola investasi
TI
Kategorisasi proyek-proyek TI berdasarkan dukungannya
pada kelompok (klasifikasi) tujuan: (a) Strategispenciptaan
keunggulan kompetitif (b) Informasionalpenyediaan
informasi (c) Transaksionalpemrosesan dan otomasi transaksi
(d) Infrastruktur layanan umum dan integrasi.
Tiap kelompok memiliki profil risiko vs tingkat pengembalian
(return) yang berbeda.
Profil typical risiko vs pengembalian:
High Risk Low Risk
High Return Strategis Transaksional
Low Return Infrastruktur Informasional
Investasi dikelola sebagai suatu komposisi (portofolio).
Keputusan diambil dengan mempertimbangkan profil kinerja
(historis) dari tiap kelompok.
15. Prioritasi Kebutuhan Investasi
Cara tradisional: penjatahan anggaran dan otonomi prioritas
pembelanjaan untuk masing-masing unit usaha.
Tata kelola yang baik: (1) Mengklasifikasikan semua usulan
berdasarkan kontribusinya pada pencapaian target
pertumbuhan dan strategi perusahaan. (2) Adanya Komite
Eksekutif untuk menegosiasikan portfolio investasi sesuai
target-target perusahaan dan paguanggaran TI.
16. PrinsipTatakelolaTI Efektif
TatakelolaTI memfasilitasi wacana tentang cara baru
dalam memanfaatkan kemampuan TI: (1) Memfasilitasi proses
belajar melalui formalisasi proses penanganan exception
(penyimpangan terhadap kebijakan TI). (2) Untuk menjaga
agar kebijakan TI selalu up to date dengan perkembangan.
Nilai tambah TI tidak selalu ditentukan oleh kecanggihan
teknologi, tapi ketepatan pemilihannya: Melibatkan semua
pihak yang berkepentingansehingga pilihan semakin strategis
dan implementasinya mendapat dukungan luas.
Pucuk pimpinan tidak mungkin terlibat dalam semua
keputusan terkait TI sehingga harus ada pendelegasian: (1)
TatakelolaTI menetapkan proses pengambilan keputusan yang
baku dan transparan, dipandu oleh arahan dari pimpinan. (2)
Pendelegasian juga memberdayakan kreativitas bawahan.
Tatakelola TI mengakomodasi secara transparan dilemma
dalam keputusan-keputusan TI, misal: Desentralisasi
(revenue-growth orientation) vs Sentralisasi (cost/profit
orientation).
Bab 3 Struktur & Mekanisme Tatakelola TI
1. Siapa Berwenang Memutuskan?
Dalam hal kewenangan, tarik-menariknya adalah antara: (1)
Manajemen Bisnis vs Teknologi Informasi (2) Desentralisasi
(unit) vs Sentralisasi (korporat)
Weill & Ross menggunakan archetype (pelabelan) politis:
Archetype Perumpamaan
Business Monarchy Tahta Bisnis
IT Monarchy Tahta TI
Feudal Penguasa Daerah
Federal Federasi
IT Duopoly Koalisi Bisnis & TI
Anarchy Individual
2. Definisi Archetype

3. Keangotaan dalam Archetype

4. Dua Bentuk IT Duopoly
(1) Model T: Keanggotaan rangkap (overlap) berapa pimpinan
pada dua komite. (2) Model Radial: Penunjukan TI bisnis
relationship manager (penghubung) untuk tiap unit usaha.

5. Keputusan tentang Prinsip TI
Duopoly (terutama model-T) banyak diterapkan: (1)
Pimpinan bisnis sebagai pengarah yang harus menjelaskan
strategi organisasi kepada pihak TI. (2) TI membuat rumusan
prinsip berdasarkan kemampuan TI yang sudah dimiliki dan
yang akan dibangun. (3) Ekspektasi bisnis terhadap TI menjadi
jelas.
Kelemahan monarchy: (1) Business Monarchy berpotensi
merumuskan prinsip yang tidak efisien atau tidak dapat
direalisasikan di lapangan. (2) IT Monarchy berpotensi
merumuskan prinsip yang sedang populer tapi tidak bernilai
strategis.
6. Keputusan Arsitektur & Infrastruktur TI
Umumnya organisasi menyerahkan keputusan tentang
Arsitektur TI sepenuhnya kepada IT Monarchy yang lebih
kompeten.
Demikian juga untuk Infrastruktur TI adalah kewenangan IT
Monarchy. Ada pula yang menggunakan Duopoly untuk
memutuskan masalah penentuan dan kepemilikan common
services (sebagai infrastruktur).
7. Keputusan tentang Aplikasi Bisnis
Umumnya, kewenangan atas Aplikasi Bisnis ada di tangan
Federal-Duopoly (model radial): (1) Unit bisnis yang lebih tahu
kebutuhannya sendiri. (2) Peran TI di dalamnya adalah untuk
memaksimasi pemanfaatan infrastruktur TI yang dimiliki dan
pemberlakukan standar-standar teknologi dalam pemilihan
solusi.
8. Keputusan tentang Investasi TI
Keputusan Investasi TI umumnya berdasarkan prioritas bisnis
dan diputuskan oleh Business Monarchy atau Federal-
Duopoly: (1) Business Monarchy lebih berkompeten dalam
membandingkan prioritas investasi TI dengan investasi bidang
lainnya, atau (2) Federal: lebih dapat mengusahakan
perimbangan antara prioritas perusahaan dengan prioritas
unit bisnis, serta kemungkinan pemakaian bersama. (3)
Duopoly: memungkinkan keterlibatan TI dalam mengukur
risiko investasi TI serta potensi manfaat jangka-panjangnya
(peluang untuk dikembangkan lebih lanjut).
9. Sektor Publik & Non-Profit
Sektor publik (pemerintahan) dan non-profit. (1) Prinsip TI
dan Investasi: cenderung diputuskan secara terpusat oleh
Business Monarchy; dengan pola instruksi hierarkis. Terutama
karena banyaknya misi yang beragam yang harus
diemban organisasi. (2) Aplikasi TI: cenderung ke Federal
untuk memastikan bahwa aplikasi-aplikasi direncanakan
dengan mempertimbangkan kebutuhan organisasi secara
keseluruhan.
10. Sektor Industri Keuangan
IT Monarchy, atau setidaknya Duopoly, lebih dominan dalam
memutuskan prinsip-prinsip TI. Secara tradisional TI adalah
bagian dari bisnis karena produk dasar industri keuangan
adalah informasi.
Feudal dominan dalam keputusan tentang aplikasi,
infrastruktur dan investasi. Secara tradisional industri
keuangan fokus pada daya saing masing-masing product line
(produk layanan).
Berlawanan dengan industri telekomunikasi dan utilitas
(listrik, PAM, dsb) dengan produk utama tunggal. Cenderung
ke Business Monarchy, atau setidaknya Federal, seperti sektor
publik.
11. Sektor Industri Manufaktur
Industri manufaktur sangat berorientasi pada integrasi lintas
proses-proses produksi (value chain): (a) Keputusan tentang
aplikasi bisnis didominasi oleh Duopoly dimana TI menjadi
partner penyedia layanan integrasi. (b) Keputusan tentang
investasi TI diambil oleh Federal untuk memastikan dukungan
otomasi proses di unit-unit dengan tetap memperhatikan
kemudahan integrasi supply-chain lintas unit
12. Mekanisme Tatakelola TI
Mekanisme tatakelola: Seperangkat struktur peran
pengambilan keputusan, proses penyelarasan dan
mekanisme komunikasi/relasional yang dirancang dengan
baik, mudah dipahami, serta transparan; untuk dapat
menciptakan perilaku pengambilan keputusan yang
diharapkan.
13. Struktur Peran
Struktur Peran Pengambilan Keputusan: (1) Yaitu
pelembagaan peran dan tanggung jawab dalam pengambilan
keputusan bidang TI. (2) Formalisasinya untuk memastikan
komitmen dan tanggung-jawab individu yang terlibat. (3)
Archetype yang diterapkan sesuai dengan karakteristik
organisasi.
14. Contoh Bentuk Lembaga
Archetype Format Keterangan
Business
Monarchy
Executive/Senior
Management Committee
Keanggotaan CIO
memberi masukan
tentang peran
strategis TI.
Federal IT Steering
Committee,
Capital Approval
Committee
(beranggotakan
CEO, pimpinan unit
bisnis, CFO dan CIO)
(a) Menonjol pada
organisasi besar
dengan fokus pada
standarisasi data dan
infrastruktur TI. (b)
Mengutamakan
perspektif holistic
(organisasi seutuhnya)
IT
Monarchy
IT Leadership Committee
(beranggotakan CIO dan
pimpinan TI di tiap unit
bisnis)
Ada potensi
kebutuhan unit unit
bisnis besar
mendominasi.
Architecture Committee
(beranggotakan pakar
teknologi)
(a)Merumuskan dan
mereview standar,
serta menangani
penyimpangan dari
standar. (b) Menjadi
konsultan bagi
pimpinan unit bisnis
dalam pengembangan
aplikasi.
Duopoly IT Council
(beranggotakan pimpinan
bisnis dan TI)
Memastikan adanya
dialog antara bisnis
dan TI.
Process Team
(beranggotakan pemilik
proses lintas unit dan
perwakilan TI)
Fokus pada proses
lintas unit,
mengalihkan fokus
dari individu unit ke
tujuan organisasi
seutuhnya.
Business-IT
Relationship
Manager
Diperankan oleh
setara manajer
dengan keahlian bisnis
dan TI sekaligus.
15. Proses-proses Penyelarasan
Penyelarasan antara TI dengan kebutuhan bisnis dilakukan
dalam proses-proses perencanaan, pelaksanaan, evaluasi dan
penyempurnaan.
Proses-proses penyelarasan best practice:
(1) Investment Approval Process: tujuannya untuk memilih
berdasarkan ranking nilai manfaat proposal-proposal investasi.
Proposal berisi estimasi manfaat dan risiko unit (lokal), tetapi
sering tidak jelas kontribusinya pada pencapaian tujuan
organisasi.
(2) Architecture Exception Process: Usulan perkecualian dari
standar teknologi harus disampaikan ke Komite untuk
dipertimbangkan: (a) Peluang belajar dari kebutuhan unit
bisnis. (b) Mendapatkan umpan balik tentang kelayakan
standar-standar yang ada. (c) Jika tidak dipertimbangkan, unit
bisnis justru akan mengabaikan standar atau melanggar diam-
diam.
(3) Project Tracking: Kuncinya adalah mengukur status
pencapaian target-target (milestones) impementasi untuk
dapat segera mengidentifikasi dan mengintervensi
permasalahan, jika ada.
(4) Formal Tracking of Business Value from IT: (a) Sebagai
proses pembelajaran organisasi tentang manfaat TI, sehingga
estimasi manfaat suatu proposal TI dapat lebih akurat. (b)
Membantu mengidentifikasi sumber dan hambatan dalam
mendapatkan manfaat dari TI. (c) Biasanya diukur dari
pencapaian target-target operasional yang mudah
dikuantifikasi.
(5) Service Level Agreement Process. Negosiasi Service Level
antara TI & bisnis untuk: (a) Mengklarifikasi kebutuhan unit
bisnis, sehingga infrastruktur dapat direncanakan dengan
akurat. (b) Merinci layanan yang disediakan TI beserta
biayanya. (c) Idealnya dikaitkan dengan biaya (chargeback)
sehingga mendorong pemakaian / permintaan layanan TI yang
bertanggung-jawab.
(6) Chargeback: adalah mekanisme untuk menempatkan biaya
TI dalam anggaran unit bisnis pengguna
BAB 4 COBIT
1. Kerangka-kerja Tatakelola
Manajemen puncak bertanggung-jawab atas pengelolaan TI
organisasi.
Manajemen puncak dituntut menetapkan kerangka kerja
(tatakelola) untuk: (1) Menyelaraskan strategi TI dengan
strategi bisnis. (2) Mengoperasionalkan strategi TI organisasi.
(3) Memastikan manfaat investasi bidang TI. (4) Memberikan
kepastian kepada shareholders bahwa risiko TI terkelola
dengan baik. (5) Mengukur kinerja layanan TI.
2. Kerangka Kerja COBIT
COBIT diajukan sebagai jawaban atas kebutuhan kerangka-
kerja Tatakelola TI, dengan karakteristik:
Business focused: Tatakelola diarahkan untuk memastikan
terpenuhinya kebutuhan bisnis / organisasi oleh TI.
Process oriented: Tatakelola diterapkan melalui proses-
proses pengelolaan TI.
Control based: Menerapkan mekanisme kontrol internal
dengan sasaran-sasaran yang jelas.
Measurement driven: Efektivitas tatakelola senantiasa
dipantau dan disempurnakan melalui pengukuran.
Tujuan akhirnya adalah memastikan terpenuhinya
kebutuhan bisnis/organisasi atas pemanfaatan TI, dengan cara:
(1) Mendefinisikan sasaran-sasaran pengendalian (control
objectives). (2) Menerapkan mekanisme pengendalian dalam
proses-proses kegiatan rutin untuk mencapai sasaran-sasaran
itu. (3) Mengidentifikasi peran-peran yang terlibat dalam
proses-proses tsb. (4) Mengukur kinerja proses-proses tsb.
3. Fokus Pada Bisnis
Konteks: Memenuhi kebutuhan bisnis dengan cara
mengadakan sumber daya TI dan mengelolanya dengan
seperangkat proses-proses baku untuk menyediakan layanan
informasi yang sesuai dengan tuntutan pihak bisnis.
4. Kriteria Keberhasilan TI
Kriteria/tuntutan bisnis (organisasi) terhadap penyediaan
layanan informasi adalah: (1) Efektivitas (effectiveness). (2)
Efisiensi (efficiency). (3) Kerahasiaan (confidentiality). (4)
Integritas (integrity). (5) Ketersediaan (availability). (6)
Kepatuhan pada ketentuan (compliance). (7) Keandalan
(reliability).
5. Pengelolaan Sumberdaya TI
Kategori sumber daya TI dalam COBIT: (a) Aplikasi. (b)
Informasi. (c) Infrastruktur. (d) SDM.
IT goals COBIT adalah bidang-bidang kompetensi
pengelolaan TI.
6. Berorientasi Proses
COBIT 4.1 mengorganisasikan aktivitas pengelolaan dan
pengendalian TI dalam suatu model proses dasar yang terdiri
dari 4 domain:
Plan & Organise (PO): Perumusan strategi dan taktik untuk
menciptakan kontribusi TI terhadap pencapaian tujuan bisnis
organisasi:
PO1 Perencanaan strategis TI, diturunkan sampai dengan
masterplan tahunan
PO2 Perancangan arsitektur (informasi), termasuk standarisasi
dan klasifikasi data
PO3 Studi kelayakan dan pemilihan standar teknologi
PO4 Perancangan organisasi pengelola TI
PO5 Pengelolaan investasi TI
PO6 Perumusan dan sosialiasi program kerja
PO7 Pengelolaan SDM TI
PO8 Pengendalian kualitas sistem / layanan TI
PO9 Pengelolaan risiko TI
PO10 Pengelolaan proyek
Acquire & Implement (AI): Identifikasi solusi-solusi TI yang
harus diadakan/dikembangkan, diimplementasikan,
diintegrasikan dengan proses bisnis, dipelihara dan
disempurnakan untuk merealisasikan strategi TI:
AI1 Analisa dan perancangan sistem / solusi TI
AI2 Pengadaan dan pemeliharaan software
AI3 Pengadaan dan pemeliharaan infrastruktur TI
AI4 Implementasi dan roll-out
AI5 Pengadaanlayanan pihak ketiga
AI6 Pengendalian perubahan / perbaikan / penggantian
AI7 Pengujian hasil perubahan / perbaikan / pengembangan
Deliver & Support (DS): Penyelenggaraan layanan TI,
termasuk manajemen keamanan dan kelangsungan sistem,
dukungan pengguna, serta manajemen data dan fasilitas
operasional:
DS1 Pengelolaan Service Level Agreement (SLA)
DS2 Pengelolaan vendor dan pihak ketiga lainnya
DS3 Pengelolaan kinerja dan kapasitas layanan TI
DS4 Pengelolaan kesinambungan layanan TI
DS5 Pengendalian keamanan (security) TI
DS6 Pengelolaan biaya operasional TI
DS7 Pelatihan pengguna
DS8 Pengelolaan help-desk dan insiden
DS9 Pengelolaan konfigurasi
DS10 Pengelolaan problem
DS11 Pengelolaan data
DS12 Pengelolaan prasarana fisik
DS13 Pengelolaan operasi fasiltas layanan TI
Monitor & Evaluate (ME): Monitoring proses-proses
penyediaan layanan TI untuk menjamin kinerja layanan dan
kepatuhan terhadap ketentuan-ketentuan tatakelola maupun
regulasi:
ME1 Pengelolaan kinerja layanan TI: monitoring dengan
pengukuran, evaluasi hasil pengukuran dan penentuan langkah
perbaikan
ME2 Pengelolaan kinerja kontrol-kontrol internal
ME3 Pengelolaan kepatuhan terhadap ketentuan eksternal
ME4 Penyelenggaraan tatakelola TI
7. Kerangka Kerja COBIT 4.1

8. Berbasis Kontrol Internal
Kontrol: kebijakan, prosedur, aturan dan struktur peran yang
dirancang untuk menjamin bahwa tujuan penerapan TI
tercapai (merealisasikan manfaat yang diharapkan) dan
mencegah / mendeteksi / mengkoreksi risiko yang
menghalangi pencapaian tsb.
Dalam COBIT setiap proses memiliki sasaran-sasaran yang
dicapai melalui penerapan kontrol (control objectives). Dirinci
sampai ke aktivitas kunci, siapa dan apa peran pelaksananya,
input yang dibutuhkan, output yang dihasilkan, dan tolok ukur
efektivitas aktivitas.
9. Diarahkan oleh Pengukuran
Optimalisasi (efektivitas dan efisiensi) proses-proses dicapai
berdasarkan pengukuran. (1) Ukuran (metrik) kinerja proses
dengan model bertingkat (dari tingkat pengelola TI, ke proses
pengelolaan, sampai aktivitas). (2) Tingkat maturitas (model
CMM dariSEI) proses sebagai acuan dalam menentukan
langkah penyempurnaan.
10. Tingkat Efektifitas
Kinerja proses mengukur tingkat pencapaian sasaran: (1)
Sasaran keberhasilan pengelola TI berdasarkan ekspektasi
bisnis. (2) Sasaran keberhasilan proses untuk mencapai
keberhasilan pengelola TI. (3) Sasaran keberhasilan aktivitas
untuk mencapai sasaran keberhasilan proses.


11. Tingkat Maturitas
Non-existent (0), ad-hoc (1), repeatable (2), defined (3),
managed (4) dan optimized (5).
Sebagai tolok untuk benchmarkingdi sektor industri
(organisasi sejenis), acuan target-target perbaikan, dan
sasaran pertumbuhan.

12. Pengukuran Tingkat Maturitas
Salah satu model pengukuran tingkat maturitas berorientasi
aktivitas dari ITGI (2008) mengukur atribut-atribut: (1) Tingkat
kesadaran dan adanya sosialisasi. (2) Keberadaan kebijakan,
standar dan prosedur. (3) Penggunaan alat bantu dan sistem
otomasi. (4) Ketrampilan dan keahlian pelaksana. (5) Kejelasan
Tanggung jawab dan akuntabilitas. (6) Ditetapkannya target
dan pengukuran kinerja.

Nilai tiap atribut untuk suatu proses sering ditentukan
melalui pembahasan bersama.
Tingkat maturitas suatu proses adalah rata-rata skor dari
keenam atribut: (a) Bobot semua atribut dianggap sama. (b)
Biasanya nilai akhirnya dibulatkan ke bawah.
Bab 5 Implementasi Tatakelola TI
1. Implementasi Tatakelola TI
Implementasi Tatakelola TI merupakan suatu proses iteratif
yang berkesinambungan: (1) Setiap siklus menghasilkan cara
kerja baru yang menjadi rutinitas (melembaga) dalam
organisasi. (2) Tidak mungkin diharapkan dapat sempurna
(mature) sekali jalan, tetapi dalam beberapa fase.
Implementasi Tatakelola TI tidak jauh berbeda dengan
inisiatif/proyek TI lainnya: (1) Menuntut definisi yang jelas
tentang tujuan (project charter). (2) Perlu prioritasi
berdasarkan potensi dampaknya dan risiko kegagalannya. (3)
Melibatkan manajemen ekspektasi dan perubahan budaya.
2. Roadmap
Prioritasi kegiatan-kegiatan implementasi Tatakelola TI
antara satu organisasi dengan yang lain tidak sama.
Implementasi yang umumnya berhasil memulai dari bidang-
bidang yang [berpotensi] memiliki: (1) Kontribusi besar pada
pencapaian tujuan penerapan TI bagi organisasi. (2) Mengatasi
risiko penting yang belum terkontrol.
3. Kunci Keberhasilan
Semua pihak memahami tujuan yang akan dicapai.
Ada dukungan dan kepemilikan dari pimpinan puncak
(misalnya: dengan menonjolkan prinsip-prinsip pengelolaan
investasi TI yang baik).
Hindari kesan hanya bertujuan memperluas kekuasaan
pengelola TI.
Hindari pendekatan checklist (mengutamakan kelengkapan)
yang tidak terfokus pada tujuan yang jelas.
Ada pemahaman bahwa implementasi tatakelola TI adalah
suatu program penyempurnaan organisasi secara bertahap.
Adanya kesamaan ekspektasi bahwa penerapan tatakelola TI
yang berhasil membutuhkan waktu dan penyempurnaan yang
berkesinambungan.
Ada kesadaran bahwa penerapannya juga melibatkan
perubahan budaya. Motivasi dan insentif adalah salah satu
kunci utamanya.
Secara bertahap, mulai dari bagian yang paling mudah
diimplementasikan dan memberikan dampak yang signifikan.
Hasil implementasi diserap (dilembagakan) menjadi bagian
dari operasional sehari-hari.
4. Siklus Implementasi Tatakelola TI

5. Identifikasi Kebutuhan
Membangun komitmen pimpinan: (1) Merumuskan tujuan
strategis tatakelola: realisasi manfaat TI, optimasi biaya,
pengendalian resiko, dsb. (2) Merumuskan dan menyepakati
kebijakan yang melandasi penerapan tatakelola. (3)
Mengupayakan dukungan pimpinan termasuk alokasi
anggaran serta penunjukan peran dan penanggung-jawab.
Merumuskan ruang lingkup tatakelola dari kebutuhan bisnis:
(1) Prioritasi sasaran-sasaran strategis TI (business goals)
berdasarkan kontribusinya pada pencapaian strategi bisnis
organisasi. (2) Identifikasi sasaran-sasaran kompetensi
pengelolaan (IT goals) yang dibutuhkan untuk mendukung
tercapainya sasaran-sasaran pemanfaatan TI tersebut (3)
Identifikasi proses-proses yang mendukung sasaran-sasaran
kompetensi tersebut.
Ruang lingkup dipertajam berdasarkan risiko: (1) Memetakan
profil risiko organisasi di bidang-bidang yang masuk dalam
ruang lingkup berdasarkan temuan audit atau laporan-laporan
permasalahan/insiden. (2) Memprioritaskan risiko berdasarkan
tingkat toleransi organisasi terhadap risiko. (3) Menyesuaikan
ruang lingkup dan sasaran implementasi berdasarkan prioritas
risiko.
Profil risiko merupakan masukan dalam prioritasi target
berdasarkan potensi dampaknya (besarnya risiko yang
tertanggulangi).
Merumuskan kerangka-kerja. (1) Mengidentifikasi kerangka-
kerja best practice yang dapat diadopsi. (2) Merumuskan
pendekatan, proses dan metode tatakelola yang akan
digunakan; untuk kemudian dikonfirmasikan dengan
ekspektasi/persepsi stakeholders.
Membentuk organisasi implementasi. (1) Berdasarkan
karakteristik organisasi, disusun struktur organisasi tim
implementasi tatakelola TI dengan peran dan tanggung-
jawabnya.
Merencanakan program implementasi. (1) Merancang
tahapan dan jadwalnya. (2) Mengalokasikan sumber daya yang
dibutuhkan. (3) Mempersiapkan anggota tim implementasi,
termasuk training.
6. Perumusan Solusi
Evaluasi tingkat maturitas saat ini. (1) Menetapkan metoda
pengukuran maturitas dan mengukur maturitas tiap proses
yang dipilih. (2) Mengukur maturitas proses-proses tsb.
Menetapkan target tingkat maturitas. (1) Menetapkan target
berdasarkan prioritas yang telah ditetapkan, dengan
mempertimbangkan hasil benchmarking di organisasi lain
maupun antar unit di organisasi sendiri. (2) Menyesuaikan
target dengan kendala-kendala (SDM, anggaran, dsb.)
Analisa kesenjangan dan identifikasi perbaikan. (1)
Mengidentifikasi kesenjangan (gap) antara target tingkat
maturitas dengan tingkat maturitas saat ini. (2)
Mengidentifikasi solusi-solusi best practice untuk pola
permasalahan di tiap titik kesenjangan. (3) Mencatat sisa
kesenjangan yang belum dapat ditutup untuk penyempurnaan
pada siklus iterasi selanjutnya.
7. Perencanaan Implementasi
Menetapkan proyek-proyek implementasi. (1)
Mengidentifikasi proyek-proyek beserta sasaran manfaat dan
kebutuhan sumber dayanya; termasuk kegiatan pendukung:
Sosialisasi, penataan fungsi dalam organisasi, penambahan
SDM, pelatihan, implementasi alat bantu, dsb. (2) Menganalisa
kelayakan proyek-proyek terpilih bersama manajer di bidang-
bidang proses yang terkait (sebagai project owner). (3)
Prioritas pada proyek-proyek dengan dampak tinggi kesulitan
rendah (a.l. kesenjangan kecil).
Merencanakan program implementasi. (1) Merangkai
proyek-proyek yang terpilih menjadi suatu program dengan
pentahapan (jadwal) yang disesuaikan dengan urutan
ketergantungan antar proyek serta ketersediaan sumber daya.
(2) Menyepakati tolok ukur keberhasilan implementasi dalam
konteks pencapaian tujuan-tujuan penerapan TI.
8. Implementasi Solusi
Pelaksanaan implementasi: Pengembangan, uji-coba, dan
penyempurnaan mekanisme tata kelola.
Monitor program implementasi: (1) Mengevaluasi tingkat
keberhasilan program implementasi (tingkat penyelesaian,
ketepatan jadwal, dsb.). (2) Analisa penyimpangan dari target
untuk merumuskan langkah-langkah koreksinya. (3)
Melaporkan hasil evaluasi kepada stakeholders.
Evaluasi efektivitas hasil implementasi: (1) Mengukur
pencapaian target dampak/manfaat implementasi
berdasarkan tolok-ukur keberhasilan yang telah disepakati. (2)
Mengumpulkan umpan-balik dari stakeholders. (3) Melakukan
brainstorming dengan stakeholders untuk mengidentifikasi
dan mendokumentasikan pelajaran yang dapat dipetik dari
hasil implementasi.
9. Operasionalisasi Solusi
Menjaga kelangsungan solusi: Formalisasi dan pemberlakuan
kebijakan, standar, proses, serta peran dan tanggung-jawab.
Identifikasi target implementasi selanjutnya: Berdasarkan
hasil evaluasi terhadap keberhasilan implementasi dan
prioritas pencapaian tujuan-tujuan penerapan TI maka
diidentifikasi dan disepakati target implementasi selanjutnya.
10. Komponen Implementasi
Empat komponen utama program implementasi tatakelola
TI: (1) Penciptaan lingkungan kondusif bagi tata kelola. (2)
Pengelolaan program kerja yang terdiri dari beberapa proyek
yang saling terkait. (3) Fasilitasi perubahan cara dan budaya
kerja. (4) Penyempurnaan efektivitas berkesinambungan
berbasis pengukuran kinerja.

Kegagalan implementasi tata kelola TI sering disebabkan
karena lemahnya satu atau beberapa komponen kunci
tersebut: (1) Tatakelola perusahaan/organisasi (lingkungan)
yang lemah (2) Kurang-telitinya perencanaan program kerja.
(3) Kurangnya keterlibatan pemangku kepentingan kunci,
mulai dari perencanaan. (4) Terlalu fokus pada maturitas
(kelengkapan), melupakan efektivitas (dampak penerapan).
11. Permasalahan Penerapan
Beberapa temuan hasil penelitian di lingkungan pemerintah:
(1) Kesadaran akan perlunya Tatakelola TI masih rendah. (2)
Efektivitas pelaksanaan tugas dan tanggung-jawab pelaksana
tatakelola TI masih rendah. (3) Struktur organisasi
kelembagaan tidak cocok. (4) Ketentuan organisasi tidak
mendukung penerapan tatakelola TI. (5) Keterbatasan jumlah
dan kompetensi SDM. (6) Implementasi tidak memperhatikan
aspek kelayakan.
12. Rendahnya Kesadaran
Seringkali, kurangnya kesadaran disebabkan karena
kebiasaan masa lalu ketika peran TI belum begitu strategis /
vital: (a) Exposure terhadap insiden-insiden kritis masih
rendah. (b) Pihak-pihak yang berperan kurang memahami
konsep tatakelola TI, terutama tujuan dan manfaatnya.
13. Masalah Pelaksanaan SOP
Pelaksanaan tatakelola TI yang tidak efektif sering
disebabkan karena SOP yang mengatur tugas dan tanggung-
jawab belum mapan. (a) SOP terlalu bertele-tele sehingga
dinilai tidak efisien. (b) SOP dibuat terlalu sederhana untuk
mengurangi beban pihak manajemen, tetapi menjadi tidak
efektif dalam mencegah terjadinya masalah. (c) Tidak ada
ukuran kinerja yang diterapkan atas outcome pelaksanaan
tugas tatakelola TI.
14. Masalah Struktur Organisasi
Penerapan tatakelola TI membutuhkan pemisahan peran-
peran (segregation of duties) yang menuntut struktur
organisasi fungsional yang sulit dipetakan ke struktur
organisasi yang ada. (a) Struktur organisasi pengelola TI
umumnya merupakan peninggalan masa lalu ketika peran TI
hanya sebagai bagian pengolahan data atau dukungan teknis.
(b) Penugasan fungsi tatakelola TI yang tidak selaras dengan
tugas (job desc) struktural personil menyulitkan pengaturan
waktu, pengukuran kinerja, dan dipatuhinya segregation of
duties.
15. Masalah Ketentuan Organisasi
Ketentuan tentang mekanisme dan peran dalam
pengambilan keputusan dalam tatakelola TI sering tidak
selaras dengan aturan organisasi.
Contoh: (a) Pada perusahaan komersial, seringkali keputusan
tentang investasi TI merupakan otoritas bagian keuangan. (b)
Prosedur penyusunan dan penggunaan anggaran yang tidak
sesuai dengan aturan tatakelola TI. (c) Ketentuan pengadaan
yang menyulitkan pelaksanaan program-program TI jangka
panjang.
16. Masalah Keterbatasan SDM
Penerapan tatakelola TI membutuhkan peran-peran
fungsional yang tidak boleh dirangkap, sehingga
membutuhkan jumlah SDM yang tidak dapat dipenuhi
organisasi. (a) Alokasi SDM organisasi hanya mengacu pada
SOP bisnis inti, sehingga sulit menjustifikasi kebutuhan
penambahan SDM.
17. Masalah Kecepatan Implementasi
Implementasi tatakelola TI sering terkesan dipaksakan,
hanya untuk mencapai target compliance tanpa
memperhatikan tingkat kesiapan organisasi. (a) Beban
birokrasi yang berat akibat penerapan tatakelola TI
menimbulkan efek keengganan atau ketidak-patuhan. (b)
Ketidak sesuaian dengan konteks permasalahan organisasi
mengakibatkan konsep tatakelola TI sulit diyakini manfaatnya
(dihayati). (c) Tidak terlihatnya manfaat dari berbagai inisiatif
menurunkan semangat untuk melaksanakan aturan-aturan
tatakelola TI.