DARMAWN
04219023
Pemenuhan kebutuhan akan sistem informasi bagi semua jenis organisasi menyebabkan
perkembangan sistem informasi yang begitu pesat. Penerapan teknologi informasi pada proses
bisnis suatu perusahaan dipandang sebagai suatu solusi yang nantinya dapat meningkatkan
kemampuan perusahaan di dalam persaingan. Hal ini menyebabkan pentingnya peningkatan
peran teknologi informasi agar selaras dengan investasi yang telah dikeluarkan, sehingga
dibutuhkan perencanaan yang matang serta implementasi yang optimal. Teknologi informasi
adalah suatu aset yang sangat berharga dalam suatu perusahaan, di mana peranan teknologi
informasi (TI) telah mampu mengubah pola pekerjaan, kinerja karyawan bahkan sistem
manajemen dalam mengelola sebuah organisasi. Teknologi informasi bisa memiliki peranan
penting menggantikan peran manusia secara otomatis terhadap suatu siklus sistem mulai dari
input, proses dan output di dalam melaksanakan aktivitas pekerjaan serta telah menjadi
fasilitator utama bagi kegiatan-kegiatan bisnis yang memberikan andil besar terhadap
perkembangan organisasi.
Peranan sistem informasi yang signifikan ini tentu harus diimbangi dengan pengaturan
dan pengelolaan yang tepat, sehingga kerugian-kerugian yang mungkin terjadi dapat dihindari.
Kerugian yang dimaksud dapat timbul dari masalah-masalah seperti adanya kasus kehilangan
data, kebocoran data, informasi yang tersedia tidak akurat yang disebabkan oleh pemrosesan
data yang salah sehingga intergritas data tidak dapat dipertahankan, penyalahgunaan komputer
serta pengadaan investasi Teknologi Informasi (TI) yang bernilai tinggi namun tidak diimbangi
dengan pengembalian yang sesuai. Hal-hal tersebut tentunya sangat mempengaruhi
pengambilan keputusan, termasuk mempengaruhi efektifitas dan efisiensi didalam pencapaian
tujuan dan strategi organisasi.
A. Pengertian IT Governance
Governance merupakan turunan dari kata government, yang artinya membuat kebijakan
(policies) yang sejalan/selaras dengan keinginan/aspirasi masyarakat atau kontituen.
Sedangkan penggunaan pengertian “governance” terhadap Teknologi Informasi (IT
Governance) maksudnya adalah, penerapan kebijakan TI di dalam organisasi agar pemakaian
TI (berikut pengadaan dan pelayanannya) diarahkan sesuai dengan tujuan organisasi tersebut.
Standar COBIT dari lembaga ISACA di Amerika Serikat mendefinisikan IT Governance
as a “structure of relationships and processes to direct and control the enterprise in order to
achieve the entreprise’s goals by value while balancing risk versus return over IT and its
processes” yang artinya adalah sebuah struktur dari hubungan relasi dan proses untuk
mengarahkan dan mengendalikan suatu perusahaan dalam mencapai tujuan dengan
memberikan nilai tambah ketika menyeimbangkan resiko dengan menyesuaikan TI dan proses
bisnis perusahaan.
Tata kelola TI merupakan tanggungjawab pimpinan direktur dan manajemen eksekutif.
Merupakan bagian integral tata kelola perusahaan dan terdiri dari kepemimpinan dan struktur
organisasi serta proses-proses yang menjamin bahwa organisasi TI dapat mendukung dan
memperluas sasaran serta strategi organisasi.
Menurut Weill & Ross (2004) tata kelola TI terdiri dari 5 komponen utama, yaitu :
IT Principles, merupakan suatu pernyataan top level manajemen tentang bagaimana TI
digunakan dalam bisnis organisasi. Menjelaskan pernyataan-pernyataan eksekutif
tentang bagaimana teknologi informasi dapat digunakan organisasi dan ke mana arah
TI akan dijalankan, prinsip TI menjadi bagian penting dari manajemen organisasi, yang
terus didiskusikan dan dilaksanakan demi perbaikan organisasi, baik di sektor
pemasaran, keuangan, pabrik dan lain-lain.
IT Architecture, mendefinisikan integrasi dan standardisasi dalam sistem. Arsitektur TI
adalah pengorganisasian logika dari data, aplikasi dan infrastruktur yang dikemas
dalam suatu kebijakan, hubungan dan pemilihan teknologi untuk mendapatkan integrasi
dan standardisasi teknis dan bisnis yang diharapkan. Selain itu teknologi sebagai
pendukung bisnis organisasi yang telah dikembangkan melalui IT principle, selanjutnya
memerlukan proses standardisasi dan integrasi di dalam suatu organisasi. Dalam
banyak kasus di Indonesia saat ini banyak persoalan masalah integrasi dan koordinasi,
kepentingan sektoral masih menjadi problem, sehingga sering gagalnya proyek IT di
perusahaan yang menghabiskan banyak biaya.
IT Infrastructure, menentukan layanan yang digunakan bersama (shared services).
Prasarana dan sarana teknologi informasi yang menyangkut jaringan, komputer,
perangkat keras dan lunak lainnya adalah suatu kumpulan komponen yang diharapkan
bisa mempercepat proses perhitungan, pengiriman dalam berbagai media informasi
(data, informasi, gambar, video, teks) dalam waktu yang singkat dan proses
penyimpanan yang efektif. Suatu sarana yang bisa dikontrol dari pusat kekuasaan dan
yang dipakai bersama menjadi hal yang penting. Perencanaan kapasitas, baik di
penyimpanan, pengiriman maupun pelayanan menjadi penting. Tanpa ada perencanaan
yang baik, maka akan menyebabkan buruknya image dan kinerja TI di perusahaan.
Business Application Needs, menentukan pemenuhan kebutuhan aplikasi bisnis dengan
membangun aplikasi bisnis yang perlu diadakan atau dikembangkan oleh TI. Dalam
pengembangan teknologi informasi keperluan bisnis yang spesifik sehingga kehadiran
teknologi informasi memberikan suatu nilai baru bagi organisasi. Dua hal penting
dalam identifikasi keperluan bisnis yang terkait dengan teknologi informasi yaitu
kreatifitas dan disiplin. Kreativitas diperlukan untuk mengidentifikasi suatu cara atau
proses baru dari perusahaan/organisasi sehingga ada nilai yang bermakna. Sedangkan
disiplin menyangkut hal yang berkaitan dengan integritas arsitektur sehingga
meyakinkan bahwa aplikasi yang dibangun memang sesuai dengan arsitektur perusahan
yang terintegrasi.
IT Investment and Prioritization, seringkali ditulis dengan IT Investment saja, ini
adalah keputusan-keputusan yang terkait dengan inisiatif mana yang perlu
diprioritaskan dan berapa banyak yang perlu dikeluarkan. Investasi teknologi informasi
sering menjadi bahan yang sulit dimengerti oleh top manajemen dari suatu organisasi,
hal ini di karenakan nilai yang ada tidak langsung terasa oleh organisasi.
B. Urgensi Tata Kelola TI
Tata kelola TI berfokus secara spesifik pada sistem teknologi informasi, performansi
dan manajemen resikonya. Tujuan utama dari tata kelola TI adalah memastikan bahwa
investasi dalam teknologi informasi memberikan nilai bisnis, dan untuk mengurangi resiko
yang berkaitan dengan TI. Hal ini dapat dilakukan dengan mengimplementasikan struktur
organisasional dengan peran-peran yang terdefinisi dengan baik untuk tanggung jawab
terhadap informasi, bisnis proses, aplikasi dan infrastruktur.
Tata kelola TI bertujuan untuk memaksimalkan potensi sumber daya yang ada, dan
menghindari tumpang tindih alokasi waktu, biaya dan sumber daya manusia, serta
mengurangi risiko dalam pengembangan TI sehingga menjamin investasi TI dapat
menghasilkan hasil yang maksimal. Teknologi informasi juga merupakan sumber daya
bisnis yang harus dikelola dengan baik dan benar. Teknologi informasi telah terbukti
memberikan kontribusi dan peranan penting pada keberhasilan atau kegagalan usaha bisnis
strategi perusahaan. Oleh karena itu, pengelolaan teknologi informasi sangatlah penting
untuk dilakukan.
Kelima pemangku IT governance diatas haruslah saling bekerja sama dan berkontribusi
dalam mengontrol dan mengendalikan implementasi dari TI. Jadi IT governance memiliki
2 tujuan yang berkaitan yakni:
Tata kelola TI yang dilakukan secara tidak efektif akan menjadi awal terjadinya
pengalaman buruk yang dihadapi perusahaan, yang memicu munculnya fenomena investasi TI
yang tidak diharapkan, seperti:
Menurut ITGI (IT Governance Institute), tata kelola TI pada dasarnya berfokus pada
dua hal yaitu bagaimana TI memberikan nilai tambah bagi bisnis dan penanganan risiko
pada implementasi TI. Tujuan tata kelola TI menurut ITGI adalah mengarahkan investasi
TI untuk menjamin performa TI memenuhi tujuan-tujuan berikut:
Dari gambar di atas dapat disimpulkan bahwa dalam pelaksanaan tata kelola TI pada suatu
organisasi digerakkan oleh pemberian nilai tambah bagi stakeholder. Untuk memberikan
nilai tambah ini dilakukan penyelarasan strategis dan penentuan solusi-solusi yang
kolaboratif antara TI dan bisnis. Dari proses tersebut ditentukan nilai tambah TI yang
kemudian dilakukan pengoptimalan pengeluaran dan pembuktian nilai tambah TI tersebut
bagi bisnis. Pemberian nilai tambah ini membutuhkan manajemen resiko yang bertujuan
untuk penyelamatan aset TI, pemulihan dari bencana dan keberlangsungan operasi TI.
Selanjutnya dibutuhkan manajemen sumberdaya untuk mengoptimalkan pengetahuan
(knowledge) dan infrastruktur TI. Keseluruhan area ini dapat dikelola dengan tepat melalui
pengukuran performa dengan penelusuran penyelesaian proyek dan memonitor layanan TI.
Perencanaan Strategi Sistem Informasi
Perencanaan strategis SI/TI mempelajari pengaruh SI/TI terhadap kinerja bisnis dan
kontribusi bagi organisasi dalam memilih langkah-langkah strategis. Selain itu, perencanaan
strategis SI/TI juga menjelaskan berbagai alat, teknik, dan kerangka kerja bagi manajemen
untuk menyelaraskan strategi SI/TI dengan strategi bisnis, bahkan mencari kesempatan baru
melalui penerapan teknologi yang inovatif.
Proses Perencanaan strategi SI/TI, proses dimana informasi yang diperoleh, serta hasil analisis
yang diperoleh dari inputs, akan diolah untuk menghasilkan outputs:
Outputs, merupakan hasil dari proses yang mencakup :
A. Strategi bisnis SI, yang mencakup bagaimana setiap unit/fungsi bisnis organisasi akan
memanfaatkan SI/TI untuk mencapai sasaran bisnisnya, portofolio aplikasi dan
gambaran arsitektur informasinya.
B. Strategi TI, yang mencakup kebijakan dan strategi bagi pengelolaan teknologi dan
sumber daya manusia SI/TI.
C. Strategi manajemen SI/TI, yang mencakup elemen-elemen umum yang diterapkan
melalui organisasi untuk memastikan konsistensi penerapan kebijakan SI/TI yang
dibutuhkan.
Future Application Portfolio, rincian yang menjelaskan usulan aplikasi yang akan
digunakan perusahaan dalam waktu kedepan, untuk mengintegrasikan setiap unit dari
perusahaan dan menyesuaikan perkembangan teknologi dengan perkembangan perusahaan.
Current Application Portfolio, rincian mengenai aplikasi system informasi yang diterapkan
perusahaan saat ini, dengan melihat keuntungan dan kekuatan yang diperoleh dengan
menggunakan aplikasi tersebut serta melihat dukungan aplikasi yang ada terhadap kegiatan
operasional dan perencanaan strategi sistem dan teknologi.
b) Analisis SWOT
SWOT adalah singkatan yg diambil dari huruf depan kata Strength, Weakness,
Opportunity dan Threat, yg dalam bahasa Indonesia mudahnya diartikan sebagai Kekuatan,
Kelemahan, Peluang dan Ancaman. Analisa SWOT berguna untuk menganalisa faktor-
faktor di dalam organisasi yang memberikan andil terhadap kualitas pelayanan atau salah
satu komponennya sambil mempertimbangkan faktor-faktor eksternal.
Metode analisa SWOT bisa dianggap sebagai metode analisa yang paling dasar, yang
berguna untuk melihat suatu topik atau permasalahan dari 4 sisi yang berbeda. Hasil analisa
biasanya adalah arahan atau rekomendasi untuk mempertahankan kekuatan dan menambah
keuntungan dari peluang yang ada, sambil mengurangi kekurangan dan menghindari
ancaman. Analsis SWOT dapat dibagikan dalam lima langkah:
o Menyiapkan sesi SWOT.
o Mengidentifikasi kekuatan dan kelemahan.
o Mengidentifikasi kesempatan dan ancaman.
o Melakukan ranking terhadap kekuatan dan kelemahan.
o Menganalisis kekuatan dan kelemahan.
o Faktor Sosial
Faktor sosial meliputi semua faktor yang dapat mempengaruhi kebutuhan dari
pelanggan dan mempengaruhi ukuran dari besarnya pangsa pasar yang ada. Contoh :
• Tingkat pendidikan masyarakat
• Tingkat pertumbuhan penduduk
• Kondisi lingkungan sosial
• Kondisi lingkungan kerja
• Keselamatan dan kesejahteraan sosial
o Faktor Teknologi
Faktor teknologi meliputi semua hal yang dapat membantu dalam menghadapi
tantangan bisnis dan mendukung efisiensi proses bisnis. Contoh :
• Aktivitas penelitian dan pengembangan teknologi
• Automatisasi
• Kecepatan transfer teknologi
• Tingkat kadaluarsa teknologi
PEST digunakan untuk menilai pasar dari suatu unit bisnis atau unit organisasi Arah
analisis PEST adalah kerangka untuk menilai sebuah situasi, dan menilai strategi atau posisi,
arah perusahaan, rencana pemasaran, atau ide. Dimana analisis ini cukup mempengaruhi
perusahaan, karena melalui analisis ini dapat diambil suatu peluang atau ancaman baru bagi
perusahaan.
b. Analisis Lima Model Persaingan Porter
Adapun teknik analisis Lima Model Persaingan Porter digunakan untuk memahami
kondisi situasi pada lingkungan eksternal bisnis diantaranya adalah Analisis lima model
persaingan Porter meliputi :
Analisis terhadap pendatang baru
Analisis terhadap barang pengganti
Analisis kekuatan tawar menawar terhadap pelanggan
Analisis kekuatan tawar menawar dengan supplier
Analisis terhadap persaingan industri sejenis
COBIT Guidelines
Kerangka kerja COBIT terdiri atas beberapa arahan/pedoman, yakni:
1. Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat-tinggi (high-level control objectives) yang
tercermin dalam 4 domain, yaitu: planning & organization , acquisition &
implementation , delivery & support , dan monitoring.
2. Audit Guidelines
Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control
objectives) untuk membantu para auditor dalam memberikan management assurance
dan/atau saran perbaikan.
3. Management Guidelines
Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti
dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:
a. Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan
sesuai dengan manfaat yang dihasilkannya.
b. Apa saja indikator untuk suatu kinerja yang bagus?
c. Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses (
critical success factors )?
d. Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan?
e. Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
f. Bagaimana Anda mengukur keberhasilan dan bagaimana pula
membandingkannya.
Gambar 6 Kaitan IT Governance dan COBIT
a. Manajemen
Untuk mengambil keputusan investasi IT.
Untuk keseimbangan resiko dan kontrol investasi.
Untuk benchmark lingkungan IT sekarang dan masa depan.
b. Users
Untuk memperoleh jaminan keamanan dan control produk dan jasa yang
dibutuhkan secara internal maupun eksternal.
c. Auditors
Untuk memperkuat opini untuk manajemen dalam control internal.
Untuk memberikan saran pada control minimum yang diperlukan.
Sumber Daya IT
a. Data, adalah obyek-obyek dalam pengertian yang lebih luas (yakni internal dan
eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya.
Orientasi Proses
IT Domains
• Plan and
Organise
• Acquire and IT Processes
Implement • IT strategy
• Deliver and • Computer operations
• Incident handling Activities
Support
• Acceptance testing • Record new problem
• Monitor and • Analyse
Evaluate • Change management
• Contingency planning • Propose solution
• Problem management • Monitor solution
• Record known problem
• Etc.
domain yang berhubungan dengan penyampaian layanan yang diinginkan, yang terdiri
dari operasi pada sistem keamanan dan aspek kesinambungan bisnis sampai dengan
pengadaan training.
semua proses TI perlu dinilai secara teratur dan berkala bagaimana kualitas dan
kesesuaiannya dengan kebutuhan kontrol
Framework
Criteria PO3 Determine the technological direction
• Effectiveness PO4 Define the IT organisation and relationships
• Efficiency PO5 Manage the IT investment
• Confidenciality PO6 Communicate management aims and direction
• Integrity PO7 Manage human resources
• Availability
• Compliance PO8 Ensure compliance with external requirements
• Reliability PO9 Assess risks
PO10 Manage projects
IT PO11 Manage quality
M1 Monitor the process RESOURCES
M2 Assess internal control adequacy
M3 Obtain independent assurance • Data
M4 Provide for independent audit • Application systems
• Technology
• Facilities
• People PLAN AND
ORGANISE
MONITOR AND
EVALUATE
ACQUIRE AND
DS1 Define service levels IMPLEMENT
DS2 Manage third-party services
DS3 Manage peformance and capacity
DS4 Ensure continuous service
DS5 Ensure systems security
DS6 Identify and attribute costs
DS7 Educate and train users
DS8 Assist and advise IT customers DELIVER AND
DS9 Manage the configuration SUPPORT
DS10 Manage problems and incidents AI1 Identify automated solutions
DS11 Manage data AI2 Acquire and mantain application software
DS12 Manage facilities AI3 Acquire and maintain technology infrastructure
DS13 Manage operations AI4 Develop and maintain IT procedures
AI5 Install and accredit systems
AI6 Manage changes
COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good
Information Technology (IT) security and control practices . Istilah “ generally applicable and
accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted
Accounting Principles (GAAP).
Sedang, COBIT's “good practices” mencerminkan konsensus antar para ahli di seluruh
dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan
mengoptimalkan investasi IT mereka. Hal penting lainnya, COBIT dapat juga dijadikan
sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan
teknologi.
Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit IT) oleh Internal
Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi,
melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu,
misalnya audit atas proyek IT, dapat dimulai dengan memilih proses yang relevan dari proses-
proses tersebut.
Lebih lanjut, auditor dapat menggunakan Audit Guidelines dengan menerapkan seluruh
domain yang terdapat dalam COBIT, yakni planning-organization (PO), acquisition-
implementation (AI), Delivery-support (DS) dan Monitoring (M) untuk merancang prosedur
audit.
Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai
dengan industri, kondisi IT di Perusahaan atau organisasi Anda, atau objek khusus di
lingkungan IT. Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh
manajemen sebagai jembatan antara risiko-risiko IT dengan pengendalian yang dibutuhkan (IT
risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT
Governance di perusahaan.
Dalam menetapkan fungsi/area/unit yang akan di audit, auditor memiliki berbagai pilihan
bergantung pada resiko subjek audit. Ada beberapa metode untuk melakukan penilaian resiko,
yaitu :
Sesungguhnya auditing is about evaluating risks and controls. Salah satu kegiatan
utama dalam pelaksanaan audit adalah pengumpulan dan evaluasi bukti audit (audit evidence
and evidence evaluation) khususnya mengenai penaksiran tingkat resiko, menilai pengendalian
yang sudah ada dan apakah sudah memadai, serta pemeriksaan apakah pengendalian
dilaksanakan sungguh-sungguh. Hal itu dapat dilakukan dengan interview, questionnaires,
controls flowcharts, dengan performance management tools, serta dengan alat bantu audit
software. Pengujian juga dapat dilakukan dengan cara progamming code (listing) review, test
data dan code comparisoon. Evaluasi audit evidence dilakukan dengan tujuan untuk mendapat
keyakinan tentang telah diselenggarakannya good IT governance.
MOELLER, ROBERT R. (2008). Effective Auditing with AS5, CobiT, and ITIL. John Wiley
& Sons, Inc. Canada.
Weill, Peter and Ross, Jeanne W. (2004). IT Governance - How Top Performers Manage IT
Decision Rights for Superior Results. Harvard Business School Press. United States.
http://www.azwar.net/2010/10/resume-perencanaan-strategis-sistem-informasi-part-1/
di Akses pada tanggal 23 November 2014 pukul 20.00 WIB