Progaram Magister Teknik Informatika

Universitas Dian Nuswantoro

Ujian Akhir Semester Ganjil 2015 / 2016
Mata Kuliah : IT Governance

Nama : FATHORAZI NUR FAJRI

NPM : P31.2014.01710 Dosen : M. Arief Soeleman

Deskripsikan Dengan baik Soal - Soal Berikut

1. Jelaskan Konsep IT Governance Menurut IT Governance Institute (2003),

Bagaimana hubungan antara IT Governance dengan COBIT, ISO 27001 Dan
ITIL.

Jawaban :
Menurut ITGI (IT Governance Institute:2003), IT Governance bukan merupakan
tanggung jawab bagian IT perusahaan saja namun merupakan tanggung jawab
jajaran direksi dan manajemen eksekutif. IT Governance adalah bagian dari tata
kelola perusahaan (Enterprise Governance) dan terdiri dari kepemimpinan, struktur
organisasi dan proses yang memastikan bahwa organisasi IT mendukung dan
memperluas strategi dan objektif organisasi. IT Governance fokus pada dua aspek
yaitu : pertama, nilai tambah yang diberikan TI terhadap bisnis dan yang kedua,
mitigasi risiko TI. Nilai TI dapat didorong oleh penyelarasan strategi TI dan bisnis
perusahaan, sedangkan mitigasi risiko TI didorong oleh tanggung jawab kepada
organisasi atau perusahaan berbasis masalah TI yang dihadapi. Keduanya perlu
didukung sumber daya yang cukup dan dapat diukur untuk menjamin bahwa hasil
yang diharapkan terpenuhi.

COBIT, ISO 27001, dan ITIL (Information Technologi Infrastructure Library)

adalah Sebagai IT governance tools atau IT governance framework yang membantu
suatu perusahaan dalam mengoptimalkan investasi TI, dijadikan acuan atau
referensi jika terjadi suatu kesimpang siuran dalam penerapan TI, dan juga dapat
membantu menemukan berbagai kebutuhan manajemen berkaitan dengan TI,
membantu pengoptimalan investasi TI, dan menyediakan ukuran/kriteria ketika
terjadi penyelewengan/penyimpangan, serta dapat diterapkan dan diterima sebagai
standard keamanan TI dan praktek kendali untuk mendukung kebutuhan manajemen
dalam menentukan dan monitoring tingkatan yang sesuai dengan keamanan dan
kendali organisasi dalam perusahaan tersebut, dibawah ini adalah penjelasan terkait
dengan COBIT, ISO 27001, dan ITIL.
Framework Cakupan Proses Kerjasama Panduan Penggunaan
Secara Umum

COBIT Mencakup semua proses tata Penjelasan cukup Sebagai referensi

kelola TI yang meliputi: sampai kepada audit TI dan atau
 Perencanaan dan kontrol-kontrol penilaian tata
pengorganisasian (PO), yang harus ada dan kelola TI
 Akuisisi dan tidak sampai kepada
implementasi (AI), petunjuk rinci
 Penyampaian dan penerapannya
dukungan (DS), dan
 Pengawasan (M)

ISO 27001 Dokumen standar system Petunjuk untuk Implementasi

manajemen keamanan penerapan Keamanan terhadap
informasi atau ISMS Informasi sebagai Information
(Information Security Penjagaan informasi Security
Management System), yang dalam rangka Management
memberikan cakupan proses memastikan: System (ISMS)
untuk melakukan Evaluasi, kelangsungan bisnis
Implementasi dan memelihara minimasi resiko
keamanan informasi berdasarkan bisnis dan
“best practice” dalam mengoptimalkan
pengamanan informasi. peluang bisnis dan
investasi

ITIL Proses Manajemen layanan TI Penjelasan meliputi Sebagai

yang meliputi 5 tahapan siklus ke 5 tahapan service penjelasan pada
layanan (service lifecycle): life cycle dan proses- disiplin dan
 Service Strategy proses pengelolaan tanggung jawab
 Service Design layanan (ITSM) pada dalam penentuan
 Service Transition setiap tahapan service dan manajemen
 Service Operation life cyle. Layanan TI yang
 Continual Service efek
Improvement

2. Perencanaan Bisnis Berkelanjutan atau (BCP) memiliki beberapa tahapan yang di

tetapkan oleh ISACA antara lain :
- Project Management & Initiation;
- Business impact analysis
- Recovery Strategy
- Plan Design and development
- Testing, Maintenance, awarness and training
Jelaskan Kelima Tahapan Tersebut diatas dengan baik sedikit contoh.
Jawaban
- Project Management & Initiation
Inisiasi proyek (project initiation) adalah tahap awal (pertama kalinya) suatu
proyek dimulai. Dalam artian memberikan gambaran global suatu proyek dalam
bentuk defenisi proyek yang berisi ruang lingkup proyek, tujuan proyek, waktu
pengerjaan proyek, biaya proyek dan informasi umum lainnya.

Tujuan Project Initiation diantaranya lain:

● Menentukan tujuan proyek secara rinci
● Mengidentifikasi faktor-faktor penentu keberhasilan (critical success factor)
untuk pelaksanaan proyek
● Menentukan ruang lingkup proyek, jadwal proyek, kebutuhan sumber daya
proyek secara garis besar, asumsi proyek, serta batasan-batasan proyek
sebagai acuan dalam membuat perencanaan manajemen proyek (project
management plan).
● Menentukan kriteria keberhasilan proyek

Mekanisme Project Initiation yaitu sebagai berikut :

● Pemilik proyek (project owner) memberi penugasan (assigment) kepada
manajer proyek (project manager) dan tim proyek (project team).
● Manajer proyek dan tim proyek secara bersama-sama membuat defenisi
proyek (project defenition) dan disetujui oleh pemilik proyek.
● Defenisi proyek yang telah dibuat, selanjutnya akan dijadikan sebagai acuan
atau landasan dalam pembuatan perencanaan manajemen proyek (project
management plan).

- Business impact analysis

Business impact analysis merupakan suatu tahapan yang dilakukan untuk

memperoleh pemahaman atas proses bisnis mana yang merupakan proses bisnis
vital dalam organisasi dan juga pemahaman atas dampak yang akan dialami oleh
organisasi jika terjadi gangguan dan bencana pada proses bisnis tersebut. Tujuan
dilakukan Business Impact Analysis (BIA) adalah untuk:
a. Mendapatkan pemahaman atas tujuan utama organisasi, prioritas masing-
masing tujuan dan waktu yang dibutuhkan untuk melanjutkan tujuan ini pada
waktu yang tidak terjadwalkan;
b. Menginformasikan keputusan manajemen atas Maximum Tolerable
Downtime (MTD) untuk masing-masing fungsi bisnis. MTD merupakan waktu
maksimum yang dapat ditoleransi oleh organisasi akibat ketidak
tersediaannya bagian dari fungsi bisnis. Semakin tinggi prioritas proses
bisnis, semakin pendek MTD.
c. Merekomendasikan strategi recovery yang tepat
d. Memahami ketergantungan yang terjadi secara internal dan eksternal untuk
mencapai tujuan organisasi.

Banyak tahapan yang harus dilakukan dalam membuat BIA yaitu:

a. Mengidentifikasi Key Business Area (KBA);
b. Mendefinisikan persyaratan yang digunakan untuk pemulihan organisasi;
 c. Menentukan ketergantungan sumber daya;
d. Menentukan dampak terjadinya gangguan dan bencana terhadap proses
bisnis;
e. Membuat prioritas dan klasifikasi proses bisnis;
f. Mendefinisikan persyaratan waktu yang dibutuhkan untuk melakukan
pemulihan.

Informasi yang digunakan untuk melakukan BIA dapat diperoleh melalui kuisioner,
wawancara, workshop, dokumen dan penelitian. Dampak yang dialami oleh
organisasi akibat terjadinya bencana dan gangguan antara lain meliputi dampak
terhadap keuangan, customer dan supplier, pegawai, operasional, serta
kredibilitas organisasi.

- Recovery Strategy

Recovery Strategy, mendefinisikan strategi pemulihan yang mencakup

penyediaan fasilitas fisik maupun teknologi pendukung.

- Plan Design and development

Planning Development merupakan layanan assessment/gap analysis,

pengembangan dan pendampingan penerapan Rencana (Strategis/Tahunan)
Teknologi Informasi.

- Testing, Maintenance, awarness and training

Pelatihan, pengujian dan audit merupakan aktivitas yang terintegrasi yang

digunakan untuk memvalidasi BCP yang dibuat. Pelatihan yang dilakukan
berdasarkan keahlian khusus yang dibutuhkan untuk merespon keadaan darurat,
yang meliputi prosedur keamanan serta bagaimana mengaktifkan,
mengimplementasikan dan menggunakan BCP secara efektif. Pelatihan dan
pengujian sering kali dilakukan secara bersamaan. Pengujian dilakukan untuk
membantu mengidentifikasi integrasi dan ketergantungan untuk menentukan
apakah terdapat gap, error, maupun kekurangan atas step yang telah diidentifikasi
pada BCP untuk kemudian dilakukan revisi. Tahap selanjutnya adalah melakukan
pemeriksaan/audit yang berfokus pada evaluasi sistematis atas berbagai sistem
TI yang digunakan. Pemeliharaan terhadap BCP yang telah dibuat. Jika tidak
dipelihara, diupdate dan divalidasi ulang dari waktu ke waktu maka suatu saat
BCP ini tidak akan berguna ketika terjadi gangguan dan bencana pada organisasi.

3. BIA merupakan tahapan yang kedua dari BCP proses, yang memiliki peran
menggambarkan sebuah dambak yang negatif yang terjadi pada operasi bisnis.
Jelaskan apa saja yang ada dalam BCP dan BIA.

Jawaban:
BCP (Business Continuity Plan) adalah proses otomatis atau pun manual yang
dirancang untuk mengurangi ancaman terhadap fungsi-fungsi penting organisasi,
sehingga menjamin kontinuitas layanan bagi operasi yang penting. Perencanaan
keberlangsungan bisnis dibuat untuk mencegah tertundanya aktivitas bisnis normal.
BCP didisain untuk melindungi proses bisnis vital dari kerusakan atau bencana yang
terjadi secara alamiah atau perbuatan manusia, dan kerugian yang ditimbulkan dari
tidak tersedianya proses bisnis normal (rutin, seperti biasa). Business Continuity Plan
merupakan strategi untuk meminimalisir efek dari ganguan dan mengupayakan
berjalannya kembali proses bisnis suatu organisasi atau perusahaan.
Kejadian atau hal-hal yang menahan proses bisnis adalah segala sesuatu gangguan
keamanan yang terduga dan tak terduga yang bisa mematikan operasi normal bisnis
dalam kurun waktu tertentu. Tujuan dari BCP adalah untuk meminimalisir efek dari
kejadian atau bencana tersebut dalam sebuah perusahaan atau organisasi. Manfaat
utama dari Business Continuity Plan adalah untuk mereduksi risiko kerugiaan
keuangan dan meningkatkan kemampuan perusahaan untuk memulihkan diri dari
bencana atau gangguan sesegera mungkin. Perencanaan keberlangsungan bisnis
juga harus dapat membantu meminimalisir biaya dan mengurangi risiko sehubungan
dengan kejadian bencana tersebut.

BIA (Business Impact Analysis) merupakan suatu tahapan yang dilakukan untuk
memperoleh pemahaman atas proses bisnis mana yang merupakan proses bisnis
vital dalam organisasi dan juga pemahaman atas dampak yang akan dialami oleh
organisasi jika terjadi gangguan dan bencana pada proses bisnis tersebut. Tujuan
dilakukan Business Impact Analysis (BIA) adalah untuk:
a. Mendapatkan pemahaman atas tujuan utama organisasi, prioritas masing-masing
tujuan dan waktu yang dibutuhkan untuk melanjutkan tujuan ini pada waktu yang
tidak terjadwalkan;
b. Menginformasikan keputusan manajemen atas Maximum Tolerable Downtime
(MTD) untuk masing-masing fungsi bisnis. MTD merupakan waktu maksimum
yang dapat ditoleransi oleh organisasi akibat ketidak tersediaannya bagian dari
fungsi bisnis. Semakin tinggi prioritas proses bisnis, semakin pendek MTD.
c. Merekomendasikan strategi recovery yang tepat;
d. Memahami ketergantungan yang terjadi secara internal dan eksternal untuk
mencapai tujuan organisasi.

Banyak tahapan yang harus dilakukan dalam membuat BIA yaitu:

a. Mengidentifikasi Key Business Area (KBA);
b. Mendefinisikan persyaratan yang digunakan untuk pemulihan organisasi;
c. Menentukan ketergantungan sumber daya;
d. Menentukan dampak terjadinya gangguan dan bencana terhadap proses bisnis;
e. Membuat prioritas dan klasifikasi proses bisnis;
f. Mendefinisikan persyaratan waktu yang dibutuhkan untuk melakukan pemulihan.

Informasi yang digunakan untuk melakukan BIA dapat diperoleh melalui kuisioner,
wawancara, workshop, dokumen dan penelitian. Dampak yang dialami oleh
organisasi akibat terjadinya bencana dan gangguan antara lain meliputi dampak
terhadap keuangan, customer dan supplier, pegawai, operasional, serta kredibilitas
organisasi.
4. Ada beberapa keunggulan atau keuntungan menggunakan outsourcing, dan juga
kelemahan menggunakan outsourcing. jelaskan keunggulan atau keuntungan dan
kerugian menggunakan outsourcing untuk pengolahan IT.
Kategori Kelebihan
Intsourcing 1. Kemudahan untuk
pengembangan dari sistem informasi
yang sesuai dengan kebutuhan
perusahaan karena proses
pengembangannya dilakukan oleh
orang dalam perusahaan sendiri
2. Sistem informasi yang
dikembangkan dapat diintegrasikan
lebih mudah dan lebih baik terhadap
sistem yang sudah ada.
3. Biaya yang relatif lebih rendah
dalam pengembangan dan
pemeliharaan karena hanya
melibatkan pihak perusahaan
4. Kemudahan dan kecepatan
untuk melakukan modifikasi,
pemeliharaan maupun perbaikan
karena penanggung jawab yang selalu
tersedia di perusahaan
5. Kemudahan dalam melakukan
pengawasan dan untuk keamanan data
yang lebih terjamin
Outsourcing 1. Kepastian akan pengendalian
biaya operasional terkait
pengembangan dan pemeliharaan
2. Perusahaan dapat lebih fokus
dalam pengembangan hal-hal yang
inti dalam pengembangan bisnisnya
Kekurangan
1. Keterbatasan jumlah dan
tingkat kemampuan SDM yang
menguasai teknologi informasi.
2. Keterbatasan perusahaan
dalam mengikuti perkembangan
teknologi informasi
3. Proses pengembangan
sistem informasi yang paralel
dengan tugas rutin sehari-hari
dapat menimbulkan keterlambatan
dalam penyelesaiannya
4. Kebutuhan akan pelatihan
yang intensif bagi personal yang
terlibat dalam pengembangan
sistem informasi sehingga
tambahan membutuhkan waktu
dan biaya
1. Umumnya membutuhkan
biaya yang relatif mahal
2. Keamanan sistem informasi
karena ada peluang
penyalahgunaan oleh vendor
3. Kemungkinan
pengembangan sistem informasi
tidak sesuai dengan kebutuhan
karena kurangnya informasi yang
diberikan atau pemahaman vendor
3. Memperoleh vendor kelas dunia
akan membawa perusahaan kepada
kemampuan bisnis kelas dunia
4. Pemanfaatan sumber daya
(karyawan) untuk keperluan penting
yang lain
5. Proses penyelesaian proyek
pengembangan dapat diselesaikan
lebih cepat oleh vendor yang andal
sehingga sistem informasi dapat
segera digunakan
6. Dengan melakukan outsource
berarti juga telah berbagi resiko
bilamana terjadi kegagalan
dalam pengembangan sistem
tersebut.
4. Keterbatasan dalam transfer
pengetahuan dari vendor terkait
sistem informasi yang
dikembangkannya
5. Menimbulkan
kebergantungan yang penuh
kepada vendor termasuk dalam
penyelesaian hal-hal yang
sederhana
6. Resiko penanganan yang
terlambat untuk situasi-situasi
yang kritis dan membutuhkan
penyelesaian segera: Vendor
membutuhkan waktu yang lebih
lama untuk merespon
dibandingkan bila dilakukan oleh
karyawan sendiri
7. Perusahaan dapat berada
pada posisi yang lemah bila
terjadi konflik dengan vendor
5. Anda sebagai seorang IT Director, atau IT manager pada perusahaan Maskapai
Penerbangan yang menerapkan IT Governance pada bisni anda. setelah
menerapkan IT Governance, Tim Auditor melakukan audit pada perusahaan anda.
Adapun Beberapa inti interview yang dilakukan auditor kepada anda sebagai berikut
:
- Bagaimana struktur organisasi dari departemen anda ?
Berikut Adalah Struktur Organisasi pada perusahaan PT. Garuda Indonesia.

- IT Tool Governance apa yang anda gunakan ?

Garuda Indonesia berkomitmen untuk menerapkan Tata Kelola Perusahaan yang
baik (Good Corporate Governance-GCG), dalam upaya mewujudkan Garuda
Indonesia yang berkinerja tinggi dengan tetap patuh pada peraturan dan
perundang-undangan, serta mempraktikkan bisnis yang bersih dan menjunjung
tinggi etika. Whistle Blowing System (WBS) merupakan salah satu sistem penting
yang diterapkan oleh Garuda Indonesia, dimana keberhasilannya sangat
dipengaruhi oleh adanya partisipasi seluruh pihak dan dukungan penuh dari
pimpinan perusahaan.

- Dapatkah anda menjelaskan bagaimana proses IT Invesment decision

Pada PT. Garuda Indonesia setelah memeriksa informasi yang bisa di dapatkan
pada website resmi www.garuda-indonesia.com terdapat satu content yaitu
hubungan investor. Pada content ini menjelaskan tentang tata kelola perusahaan,
data perusahaan, laporan keuangan dan presentasi, laporan analis, informasi
harga saham, Analyst meeting video, dan kontak.
- Bagaimana anda melakukan inisialisasi proyek e-ticketing dan
pembangunannya
Suatu perusahaan yang akan masuk ke B2B dengan Garuda Indonesia diwajibkan
mengisi data perusahaan secara online. Dengan keuntungan seperti special
corporate fares dan priority waiting list. Adapun inisialisi pembangunan e-ticketing
yaitu dengan melakukan langkah- langkah sebagai berikut :
a. Planning/perencanaan strategis meliputi penentuan tujuan dengan jangka
yang panjang, memperkirakan tren masa depan, dan proyeksi kebutuhan
produk dan layanan yang baru.
b. Melakukan analisa SWOT
c. Identifikasi proyek potensial
d. Menggunakan metode realistis dalam memilih proyek yang sedang dikerjakan
e. Merumuskan inialisasi proyek dengan mengeluarkan project charter

Adapun analisa SWOT yang digunakan adalah sebagai berikut :

 Strength
•Kapabilitas
•Keunggulan kompetitif
•Nilai jual unik
•Sumber daya, aset, manusia
•Pengalaman, pengetahuan, data
 Weakness
• Reputasi dan merk
• Kondisi finansial
• Reliabilitas data
• Ketangguhan rantai suplai
• Moral, komitmen, dan kepemimpinan
 Threat
• Dampak politik dan kebijakan
• Dampak lingkungan
• Permintaan pasar
• Kehilangan staf ahli
• Musim dan faktor cuaca
 Opportunity
•Pengembangan pasar
•Tren gaya hidup
•Inovasi teknologi
•Lokasi geografis
•Pengembangan produk dan unit bisnis

- perubahan apa yang ada setelah menerapkan e-ticketing

Show Schedule and Tariff atau e-ticketing : memudahkan calon penumpang untuk
menyesuaikan waktu penerbangan yang akan dilakukan dan pembayaran yang
akan dilakukan.
- Bagaimana cara anda me-manage resiko
a. Membuat Perencanaan
Setiap bisnis harus memiliki sebuah perencanaan manajemen risiko yang
solid. Ada beberapa point penting untuk dicantumkan dalam perencanaan
manajemen risiko, adalah sebagai berikut:
 Daftar risiko
 Penilaian tiap risiko berdasarkan kecendrungan terjadi dan dampaknya
 Penilaian terhadap pengendalian saat ini
 Rencana tindakan
b. Menentukan Bagaimana Menangani Risiko
Menentukan apa yang harus dilakukan pada setiap risiko, sehingga kita
dapat menanganinya dengan baik. Dalam dunia manajemen risiko, ada empat
strategi utama:
 Menghindarinya.
 Menguranginya.
 Memindahkannya.
 Menerimanya.
c. Monitoring
Melakukan pengukuran tidak cukup; kita juga perlu memeriksa apakah
hal tersebut bekerja, dan memonitor bisnis kita secara reguler untuk
mengidentifikasi dan menangani risiko baru.

- Bagaimana anda mengukur efektifitas IT Governance nya

Dalam mengukur efektifitas IT Governance pada perusahaan kami, dilakukan
dengan menggunakan WBS. Dimana Laporan yang telah didukung dengan bukti
awal yang memadai akan ditindaklanjuti untuk dilakukan investigasi lebih
mendalam untuk menetapkan apakah suatu laporan terbukti atau tidak. Hasil
investigasi menjadi dasar bagi Manajemen Garuda Indonesia untuk mengambil
tindakan terhadap terlapor. WBS menjamin setiap pelapor dapat mengetahui
status perkembangan dan tindaklanjut atas laporannya.

Dan dengan menerapkannya secara konsisten dan tegas, maka upaya untuk
mewujudkan Garuda Indonesia yang berkinerja tinggi, taat hukum, bersih dan
beretika akan menjadi kenyataan.

- Siapa yang bertanggung jawab membuat kebijakann dan prosedur IT

Governance
Berdasarkan Surat Keputusan Nomor JKTDZ/SKEP/50032/12 tanggal 13 Agustus
2012 tentang Whistleblowing System PT Garuda Indonesia (Persero) Tbk. dan
Surat Keputusan Nomor JKTDI/SKEP/S0062/13 tanggal 26 November 2013
tentang Tata Cara dan Prosedur Pelaporan Terkait Whistleblowing System PT
Garuda Indonesia (Persero) Tbk., perusahaan menugaskan RSM AAJ Associates
(RSM AAJ) untuk melakukan pengelolaan Whistleblowing System.

Sebagai Tim WBS Garuda Indonesia, RSM AAJ memiliki tugas dan
tanggungjawab dalam mengelola pelaporan yang masuk, berkomunikasi dengan
pelapor, melakukan wawancara dan perolehan informasi pendukung dalam
 rangka pelaksanaan tindak lanjut atas laporan yang masuk. Selain itu, RSM AAJ
dan personil yang ditugaskan memiliki tanggungjawab untuk menjaga kerahasiaan
informasi yang diterima.

- Apakah saudara akan me-manage dengan outsourcing atau insourcing. Beri

sedikit gambaran.
Penerapan outsourcing terhadap perusahaan-perusahaan di Indonesia sudah
begitu tinggi. Hal ini tidak terlepas dari keuntungan yang didapat dari penerapan
outsourcing tersebut. Oleh karena itu perusahaan kami juga menerapkan
outsourcing.

- Bagaimana anda menyelaraskan bisnis dan IT Governance.

Mekanisme relasional dapat juga diartikan sebagai cara atau metode bagaimana
suatu organisasi menciptakan kolaborasi dan komunikasi yang efektif antara
bisnis dan IT. Contoh dari mekanisme relasional adalah adanya job rotation pada
IT atau bisnis, Colocation atau penempatan dalam jangka waktu tertentu antara IT
dan bisnis, memberikan pelatihan tentang IT kepada bisnis dan sebaliknya,
penyediaan intranet sebagai sarana sosialisasi IT Governance, dan penggunaan
media-media lainnya.

- Apa ukuran Performance yang anda terapkan

Key Success Indicator (KSI) adalah satu set ukuran kuantitatif yang digunakan
perusahaan atau industri untuk mengukur atau membandingkan kinerja dalam hal
memenuhi tujuan strategis dan operasional. KSI sendiri bervariasi antar
perusahaan atau industri, tergantung pada prioritas atau kriteria. KSI dibuat
setelah sebuah organisasi memiliki strategi dan tujuannya. KSI membantu
organisasi memastikan seberapa jauh kemajuan tujuan yang telah dan akan
dicapainya.

- Frame work IT Governance apa yang anda gunakan dan mengapa ?

COBIT (Control Objective for Information and Related Technology), karena COBIT
mempunyai cakupan yang lebih luas, komprehensif, dan mendalam dalam melihat
proses pengelolaan TI. Selain sebagai framework Tatakelola TI, COBIT juga dapat
digunakan sebagai framework untuk melakukan Audit TI.