Pertemuan 1 : IT Governance ( Tata Kelola IT) M. Arief...

Pertemuan 1 :IT Governance ( Tata Kelola IT)

M. Arief Soeleman

• Investasi Teknologi Informasi yang sampai menghabiskanmilyaran rupiah pada perusahaan skala menengah dan besartersebut, sepertinya sudah tidak ekonomis lagi jika hanyaditujukan untuk meningkatkan efisiensi, efektivitas dankecepatan kerja organisasi.

• Perkembangan TI yang semakin canggih dan serba bisatersebut, mulai diarahkan menjadi enabler terhadappeningkatan kinerja suatu organisasi.

• Yang kemudian memunculkan kesadaran, terutama di duniaindustri, bahwa tanggung jawab pengelolaan TI tidak bisasepenuhnya diserahkan ke unit/bagian/divisi yang hanyakhusus menangani TI secara teknikal (IT Function)sebagaimana pendekatan manajemen konvensional, melainkanjuga harus menjadi tanggung jawab berbagai pihak manajemendalam suatu organisasi. Hal inilah yang kemudian melahirkankonsep dan paradigm baru dalam mengelola TeknologiInformasi yang disebut dengan IT Governance (Tata KelolaTeknologi Informasi).

Latar Belakang

Cont..

• Banyak proyek TI strategic yang penting justru gagal dalampelaksanaan, yang disebabkan proyek TI hanya ditanganioleh teknisi TI tanpa keterlibatan eksekutif dan visidepertemen TI tidak selaras visi korporasi.

• IT Governance merupakan suatu komitmen, kesadaran danproses pengendalian manajemen organisasi terhadapsumber daya TI/sistem informasi yang dibeli dengan hargamahal tersebut, yang mencakup mulai dari sumber dayakomputer (software, brainware, database dan sebagainya)hingga ke Teknologi Informasi dan Jaringan LAN/Internet.

• Lalu, apa sebenarnya yang dimaksud dengan Tata Kelola(Governance) itu? Kenapa akhir-akhir ini semakin popular ?

Cont..

• “Governance” merupakan turunan dari kata“government”, yang artinya membuat kebijakan(policies) yang sejalan/selaras dengankeinginan/aspirasi masyarakat atau kontituen (Handler& Lobba, 2005).

• Sedangkan penggunaan pengertian “governance”terhadap Teknologi Informasi (IT Governance)maksudnya adalah, penerapan kebijakan TI di dalamorganisasi agar pemakaian TI (berikut pengadaan danpelayanannya) diarahkan sesuai dengan tujuanorganisasi tersebut

Cont..

• Menurut Sambamurthy and Zmud (1999), IT Governancedimaksudkan sebagai pola dari otoritas/kebijakan terhadapaktivitas TI (IT Process). Pola ini diantaranya adalah:membangun kebijakan dan pengelolaan IT Infrastructure,penggunaan TI oleh end-user secara efisien, efektif danaman, serta proses IT Project Management yang efektif.

• Standar COBIT dari lembaga ISACA di Amerika Serikatmendefinisikan IT Govrnance as a “structure of relationshipsand processes to direct and control the enterprise in order toachieve the entreprise’s goals by value while balancing riskversus return over IT and its processes”.

Cont..

• Istilah tatakelola (governance) juga sering dikaburkan dengan istilah pemerintahan (government), pdahal keduanya mempunyai arti yang berbeda.

• Pemerintahan dibangun untuk menjalankan (governance).

• Istilah pemerintahan lebih berkonotasi ke organisasi politik.

• Organisasi bisnis lebih banyak menggunakan istilah korporat disbanding dengan istilah pemerintahan

• Tatakelola korporat merujuk pada proses dan strktur untuk merencanakan arah pengelolaan organisasi sehingga dapat mencapai tujuan efektif.

Cont..

• Menurut Oltsik (2003) mendefinisikan IT Governancesebagai kumpulan kebijakan, proses/aktivitas danprosedur untuk mendukung pengoperasian TI agarhasilnya sejalan dengan strategi bisnis (strategiorganisasi).

• Ruang lingkup IT Governance di perusahaan skalabesar biasanya mencakup hal-hal yang berkaitandengan Change Management, Problem Management,Release Management, Availability Management danbahkan Service-Level Management

Cont..

• Lebih lanjut Oltsik mengatakan bahwa IT Governanceyang baik harus berkualitas, well-defined dan bersifat“repeatable processes” yang terukur (metric).

• IT Governance yang dikembangkan dalam suatuorganisasi modern berfungsi pula mendefinisikan(outline) kebijakan-kebijakan TI, menetapkan prosedurpenting IT Process, dokumentasi aktivitas TI, termasukmembangun IT Plan yang efektif berdasarkanperubahan lingkungan perusahaan dan perkembanganTI.

Kenapa Tatakelola ..penting?

• Adanya perubahan peran TI, dari peran efisiensi ke peran strategic yang harus ditangani di level korporat

• Banyak proyek TI strategic yang penting namun gagal hanya karena ditangani teknisi

• Keputusan TI di dewan direksi sering bersifat ad hoc alias tidak terencana baik

• TI merupakan pendorong utama proses transformasi bisnis yang memberi imbas penting bagi organisasi dalam pencapaian visi, misi dan tujuan strategic

• Kesuksesan pelaksanaan TI harus dapat terukur melalui metric tatakelola TI.

Untuk mewujudkan IT Governance dalam suatu organisasi, maka suatu organisasi harus membangun struktur yang dinamakan dengan IT Governance Framework, yang kira-kira polanya sebagai berikut:

What is IT Governance?

IT Governance Event - UCISA 11

working definition

IT governance is the formal process of defining the

strategy of the IT organization and overseeing its

execution to achieve the goals of the enterprise.

Aligned/synchronized with the

enterprise strategy, including other

key asset strategies

Decision rights

framework &

mechanisms

Vision,

goals/priorities, measures; value

prop & service portfolio;

resource approaches &

commitments;

change management

plans

Translation into

aligned, tactical, operational

plans; closed-loop monitoring & control;

accountability;

regulatory compliance

Cont..

• Berdasarkan struktur IT Governance maka semuasistem informasi yang ada di perusahaan (SistemInformasi Bisnis) dapat diarahkan (govern) agar sejalandan mendukung strategi organisasi. Dengan demikian,maka keberadaan berbagai bentuk sistem informasidalam naungan SIM (Sistem InformasiManajemen/SIM) perusahaan.

• Demikian pula, perusahaan kemudian dapat mereduksi resiko dari penggunaan TI (IT Risk) dan pengendalian IT Process (disebut dengan IT Control) menjadi optimal.

Governance Model

Pada saat ini, Teknologi Informasi (TI) merupakan bagian yangtidak bisa terpisahkan dari suatu perusahaan. Ilmu dan teknologiyang bergerak maju dan berkembang ternyata tidak sedikitmenimbulkan masalah, terutama dalam menghadapi kompleksitasdan intensitas tantangan yang semakin berat.

Pimpinan dan para pembuat kebijakan perusahaan dituntutberpikir kreatif untuk menemukan berbagai terobosan strategi yangmampu menciptakan sinergi, yang memberi kontribusi optimaldalam pencapaian tujuan perusahaan

Namun, kenyataannya sering kita jumpai bahwa pemanfaatan TIitu justru menghabiskan sumber daya, sementara hasil yangdiharapkan tidak tercapai

IT Governance Event - UCISA

Cont...

Untuk itu, perlu dilakukan manajemen informasi efektif danpemanfaatan teknologi secara efisien. Hal ini sudah seringdikemukakan dan dibahas. Dari pembahasan itu, makindisadari pentingnya “IT Governance”.

IT Governance adalah sebuah struktur dari hubungan relasidan proses untuk mengarahkan dan mengendalikan suatuperusahaan dalam mencapai tujuan dengan memberikan nilaitambah ketika menyeimbangkan resiko dengan menyesuaikanTI dan proses bisnis perusahaan

IT Governance muncul sebagai jembatan antara scope bisnisdengan TI, yang disebabkan terjadinya sebuah gap antarateknologi yang diterapkan tidak sesuai dengan yangdiharapkan.

IT Governance bukanlah suatu manajemen tersendiri, tetapipada dasarnya juga merupakan bagian dari manajemenperusahaan

Cont..

Manfaat IT Governance itu sendiri pada dasarnya sangat sulituntuk dikuantifikasikan karena ukuran keberhasilanpenanganan TI itu pada dasarnya bersifat intangible.

Penelitian IT Governance Institute (ITGI) menunjukkan bahwa TI telah bergeser dari isu teknologi menjadi isu manajemen dan pengelolaan.

Penerapan TI di perusahaan akan dapat dilakukan denganbaik apabila ditunjang dengan suatu pengelolaan TI (ITGovernance) dari mulai perencanaan sampai implementasinya

IT Governance yang tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan seperti :

Kerugian bisnis, berkurangnya reputasi dan melemahnyaposisi kompetisi;

Tenggang waktu yang terlampaui, biaya lebih tinggi dari yangdiperkirakan, dan kualitas lebih rendah dari yang telahdiantisipasi;

Efisiensi dan proses inti perusahaan terpengaruh secaranegatif oleh rendahnya kualitas penggunaan TI;

Kegagalan inisiatif TI untuk melahirkan inovasi ataumemberikan keuntungan yang dijanjikan;

Penggunaan standar IT Governance mempunyai

• 1. Enterprise activities, as defined by the Malcolm Baldrige National

Quality Award:4

• Business processes are those nonproduct/nonserviceprocesses that are considered the most important to business growth and success by senior leaders.

• Examples include research and development, technology acquisition, information and knowledge management, supply chain management, supplier and customer partnering, outsourcing, merger and acquisition, global expansion, project management and marketing.

• Support processes are those that support daily operations and product and service delivery but are not usually designed in detail with the products and services.

• Examples are financial and accounting, facilities management, legal services, human resource services, public relations and other administrative services.

• Core processes are the enterprise’s key products and service design

.

2. Resources

Intangible resources are useful information/knowledge bases.• These are the most critical resources for extended enterprise

governance because the governance structure heavily relieson a knowledge portal sharing among the partners.

• Intellectual resources on one enterprise owner is never enough; the senior management should orchestrate thedynamic combination of complementary skills and assets of the partners to generate and then realize innovative ideasand product improvements.

• Tangible resources are financial, human, facilities, and similar resources. Normally, complementary skills (intangibleresources) are combined with these assets (tangible resources) to produce world-class products and services.

3. Objectives, goals, and expectations: values

• Values are the driver for objectives, goals, and expectations.

• Sharing the same goals among partners is a critical success factor of the governance of the extended enterprise. Goals/

• objectives are set through strategic planning and translatedinto activities that will ensure reaching the goal through theeffective use of operational planning

Keuntungan

Pertama, The Wheel Exists, penggunaan standar yang sudahada dan mature akan sangat efisien. Perusahaan tidak perlumengembangkan sendiri framework dengan mengandalkanpengalamannya sendiri yang tentunya sangat terbatas.

Kedua, Structured, standar-standar yang baik menyediakansuatu framework yang sangat terstruktur, yang dapat denganmudah dipahami dan diikuti oleh manajemen. Lebih lanjut lagi,framework yang terstruktur dengan baik akan memberikansetiap orang pandangan yang relatif sama.

Ketiga, Best Practices, standar-standar tersebut telahdikembangkan dalam jangka waktu yang relatif lama danmelibatkan ratusan orang dan organisasi di seluruh dunia.Pengalaman yang direfleksikan dalam model-modelpengelolaan yang ada tidak dapat dibandingkan dengan suatuusaha dari satu perusahaan tertentu

Cont..

Keempat, Knowledge Sharing, dengan mengikuti standar yangumum, manajemen akan dapat berbagi ide dan pengalamanantar organisasi melalui user groups, website, majalah, buku,dan media informasi lainnya.

Kelima, Auditable, tanpa standar baku, akan sangat sulit bagiauditor, terutama auditor dari pihak ketiga untuk melakukankontrol secara efektif. Dengan adanya standar, maka baikmanajemen maupun auditor mempunyai dasar yang samadalam melakukan pengelolaan

Apa bedanya IT Compliance dengan IT Governance?

• IT Compliance adalah pelaksanaan dan pengelolaan teknologiinformasi yang sesuai dengan standar yang diterapkan dalamlingkungan atau institusi tertentu.

• Jika Anda berasumsi bahwa IT Compliance menyangkut aspekteknologi saja. IT Policy Compliance (kepatuhan akan kebijakan TI)boleh dikatakan sebagai satu ekosistem lengkap yang mencakup:

Tujuan strategis organisasi. Pelatihan dan kesadaran Pengguna komputer. Kebijakan di tingkat atas. Prosedur dan standar. Pengaturan konfigurasi. Kontrol terhadap teknologi. Pemantauan yang berkelanjutan

Secara keseluruhan, kepatuhan adalah tentang manusia, proses, danteknologi. Banyak perusahaan yang memberikan perhatian terlalubanyak kepada teknologi dan akhirnya gagal dalam audit karenakurangnya perhatian terhadap faktor manusia dan proses.

Perbedaan Mengatur dan Menatakelola TI

Kriteria Mengatur Menatakelola

Scope Lebih sempit karenabagian tatakeloal

Lebih luas

Mekanisme Departemen TI Korporasi

Keputusan TI Keputusan spesifik Korporasi

Fokus Proses internal Inter dan eksternal

Horison Sekarang dan jangkapajang

Jangka panjang

Objek keputusan Kep yg dibuat Siapa dan bagaimanamembuat keputusan

Proses Implemen Dapat dialihkan Insouring

Personil Manajer TI (CIO) Dewan direksi

Beberapa contoh standar pemerintah dan industri yang mempengaruhi kebijakan kepatuhan TI misalnya:

Control Objectives for Information and Related IT (COBIT).

National Institute of Standards and Technology (NIST) standards.

International Standards Organization (ISO) 27001.

Information Technology Infrastructure Library (ITIL).

Payment Card Industry Data Security Standard (PCI DSS).

NERC Critical Infrastructure Protection (CIP) standards.

Federal Financial Institution Examination Council (FFIEC) Informatio

Dengan analogi diatas, maka IT Governance posisinya sama dengan QA (kebijakan, prosedur, defect prevention) sedangkan IT Compliance identik dengan peranan QC (produk dihasilkan).

Beberapa standar model :

Ada berbagai standar model IT Governance yang banyakdigunakan saat ini, antara lain :

ITIL (The IT Infrastructure Library),

ISO/IEC 17799 (The International Organization for Standardization/The International Electro technical Commission),

COSO (Committee of Sponsoring Organization of the Treadway Commission), and

COBIT (Control Objectives for Information and related Technology).

.. Keseimbangan CIO’s diantara prioritas.


Reduce risk:• Ensure security and continuity

of internal business operations, while minimizing exposure to external risk factor

Maximize return:• Improve business results;

grow revenue and earnings, cash flow, reducedcost-of-operation

Improve performance:

• Improve business operations performance end-to-end across the enterprise

• Increase customer and employee satisfaction

Increase agility:• Enable the business organization

and operations to adapt to changing business needs

Strategic Alignment Model (SAM)Henderson dan Venkrataman

Needs, Issues & Challenges

IT Governance Event - UCISA 33Procedure, Audits, Metrics

Control

StrategicTactical

Operations

Demand

IT andBusiness

Resources

Supply

Capital, Capacity, Priorities

Planning

Alignment Flexibility

EfficiencyQuality

Kurangnya strategy bisnis selaras

Mengurangi seluruh bea bisnisIneffective project Management

Kompleksitas deployment karena

kurangnya standar dan dokumen

Tidak ada audit

Manajemen layanan perubahan

Menurunkan Biaya IT sd 30%

Kurang transparan pada sumber daya IT

Target tidak tercapai karena kurangnya kontrol

Mendeploy kompleksitas dalam

beberapa project

Tidak dapat agregat kebutuhan

dan mendistribusi ROI

Tidak ada cara yg mengatur kontrak

outsourcing

Tidak ada panduan permintaan

No means of prioritization of

business need

Tidak ada cara pelaporan

Membuat keputusan

perusahaan baru / outsourcing


Budget available to support innovation

Note: percents do not sum to 100 due to range format question structure.

Discretionary vs. Nondiscretionary

36% of the average CIO’s budget

can be devoted to providing

new capabilities.

Q: What percent of your total IT budget is devoted to: Non-discretionary

items infrastructure, support and maintenance or Discretionary items

new capabilities?Source: CIO Magazine “The State of the CIO” online survey, January 2012


How many IT projects have positivebusiness outcomes?…

43%

57%

...still not enough!

Half or less

More than half

51%49%

Worldwide EMEA


Driving Innovation

By transforming the % of IT spending consumed by ongoing operations …

Application maintenance

Application innovation

Infrastructure maintenance

Infrastructure innovation

5%

30%

42%

Today

23%

72%

28%

In 3 years

15%

30%

45%

10%

45%

55%

In 3 years

15%

30%

45%

10%

45%

55%


Tangible Benefits

Cost avoidance

• Stopped $8 mill in projects unlikely to deliver expected business value

• Saved $3.7 mill by avoiding investment in non-viable projects

• IT spend not aligned to IT strategy reduced by 25%

• IT project scope change orders reduced by 57%

Cost reduction

• “At risk” projects reduced by over 30%

• Audit costs reduced by £1.2 mill per year

• IT labour costs reduced by $320k

• IT budget on target

Efficiency gains

• Reduced project funding process from 6 weeks to 1 week

• Schedule tracking and updating lead time reduced by 67%

• Reporting efficiency increased by 75%

• IT labour efficiency increased by 10%

• Project management bandwidth increased by 12%

• Demand queue reduced by 67%

Who are the Decision Makers?


Business and IT

Collaboration

IT DecisionBusiness Decision

De-centralised

Centralized

Federal

Business Exec.

Business Exec./Mgt.

Business Mgt.

IT Exec.

IT Exec./Mgt.

IT Management

Business and IT Exec.

Business and IT

Exec./Mgt.

Business and IT Mgt.

Non-Cooperative Cooperative

Anarchy

Core Competencies for Effective IT Governance


Enterprise

Architecture

Managemen

t

Relationship

Management

IT Strategy

Management

Financial

Managemen

t

Supply /

Demand

Management

Portfolio

Management

IT Operating

Model

• Align operational and

strategic IT investments to

business strategies &

objectives.

• Establish

policies,

standards,

models and

processes for

managing IT

as an

enterprise

asset• Lifecycle management of

infrastructure, applications

and services

• Understand the

drivers of IT

costs to allocate

appropriate

costs to the

consumers of IT

services.

• Establish effective, collaborative

relationships with business

stakeholders and suppliers.

• Balance the demand for IT services

with available resources to meet

immediate and strategic goals.


40

Optimized Business Value

Impact

Enterprise Cost Management

IT Cost TransferIT Cost

MinimizationExpense Driven, Budget Focused

Balanced & Aligned Adaptive

Enterprise

Enterprise Demand Driven

Supply Constrained

Deliver to Budget

Technology Centric

Technology-based Services

Service Centric Business Centric Customer Centric

IT Operating Model

Relationship Management

Management

Financial Management

IT Strategy Management

Ad Hoc or IT Centric

Technology Based

Supply Constrained

Value Based Demand Driven

Silo IT Process-BasedBusiness Process

BasedInternal Service

ProviderShared Services

Balanced & Aligned Multi-

Sourcing

ITG

o vern

ance

Capabili

tyD

om

ain

s

None

Technology Based

Supply Constrained






Sourcing

ITG

o vern

ance

Capabili

tyD

om

ain

s

None UtilityUtility Dependent Agile

Portfolio Management

Level 1: Initial Level 2: Repeatable Level 4: ManagedLevel 3: Defined Level 5: Optimized

Role of IT

IT Governance Capability Levels

IT Governance Capability Model

Ad Hoc Review of Portfolio

Synergies

IT Cost Minimization

Emerging ROI Based Funding

Business Unit Aligned

Enterprise IT Portfolio

Management

Optimized Business Value

Impact

Enterprise Cost Management

IT Cost TransferIT Cost

MinimizationExpense Driven, Budget Focused

Balanced & Aligned Adaptive

Enterprise

Enterprise Demand Driven

Supply Constrained

Deliver to Budget

Technology Centric

Technology-BasedServices

Service Centric Business Centric Customer Centric

IT Operating Model

Business Relationship Management

Supply / Demand Management

Financial Management

Agile Enterprise Architecture

Architecture Driven Design

Business Strategy Linked

Program-based Architecture Management

Ad hoc Technical Architecture

Enterprise Architecture Management

Integrated Enterprise Architecture &

Business Planning

Architecture-

Compliant Design

Business Strategy

Aligned Architecture

Initial Enterprise

Architecture Program

Ad hoc / Ineffective

Enterprise Architecture


Agile Enterprise Architecture

Architecture Driven Design

Business Strategy Linked

Program-based Architecture Management

Ad hoc Technical Architecture


Integrated Enterprise Architecture &

Business Planning

Architecture-

Compliant Design

Business Strategy

Aligned Architecture

Initial Enterprise

Architecture Program

Ad hoc / Ineffective

Enterprise Architecture


IT Strategy Management

Ad Hoc or IT Centric

Technology Based

Supply Constrained






Sourcing

ITG

o vern

ance

Capabili

tyD

om

ain

s

None

Technology Based

Supply Constrained





Balanced & Aligned Multi -

Sourcing

ITG

o vern

ance

Capabili

tyD

om

ain

s

None UtilityUtility Dependent Agile

Portfolio Management

1: Initial 2: Repeatable 4: Managed3: Defined 5: Optimized

Role of IT

IT Governance

Capability Levels

IT Governance Capability Model

Ad Hoc Review of Portfolio Synergies

IT Cost Minimization

Emerging ROI Based Funding

Business Unit Aligned

Enterprise IT Portfolio

Management

The IT Governance Capability Model


41

IT Governance Models- the 5 Characteristics

Corporate Governance

IT Governance Framework

Val IT

Cobit

ITIL

ISO

PPM Methods

…

BTO portfolio

Business Change

Org. Alignment & Competencies

Processes

Technology

People

Value Benefits Assurance

There are many models.

But they share 5 characteristics:

• Underpinned by processes that must be implemented (e.g. Incident management)

• Supported by technology

• Define business change issues to be addressed

• Define organisational realignment to be achieved

• Include some way of measuring the value to be achieved (e.g. balanced scorecard)

11 September 2008 IT Governance Event - UCISA 423 April 2016 42

How to Implement GovernanceExecute

IT Governance

Assessment

Setup

IT Governance

Framework

Design

IT Governance

Processes

Implement

Supporting Tools

•Execute assessment to identify gaps

•Define new role of IT in organization

•Define evolution roadmap to address the gaps

•Define roles and responsibilities

•Setup communication path to support IT-business alignment

•Define management structures for decision making, reporting and

escalation

•Define policies

•Define processes

•Define KPIs and reporting requirements

•Implement tool to support the execution of the solution

•Implement tools for data collection and management reporting

Continuous

Improvement Plan

(Control Lifecycle)

•Identify indicators to monitor strategy execution

•Define steering committee to manage relationships within IT and between

business & IT

•Review IT strategy periodically and evolve governance environment

Critical success factors for ITG


• Clarity of Purpose

• Senior Management Commitment

• Management of Business Change

• Focus, execute and enforce

• Measure achievable targets and expectations

• Don’t over-engineer IT Governance

• Evolution not revolution

IT IL- (The IT Infrastructure Library)

ITIL dikembangkan oleh The Office of Government Commerce

(OGC), yaitu suatu badan di bawah pemerintah Inggris, yang

bekerja sama dengan The IT Service Management Forum

(ITSMF), suatu organisasi independen mengenai manajemen

pelayanan TI dan British Standard Institute (BSI), suatu badan

penetapan standar pemerintah Inggris. ITIL merupakan suatu

framework pengelolaan layanan TI (IT Service Management –

ITSM)

IT Infrastructure Library (ITIL) adalah serangkaian

dokumen yang digunakan untuk membantu

implementasi dari sebuah kerangka kerja untuk

pengelolaan layanan teknologi informasi (ITSM, IT

Service Management).

Kerangka kerja ini mendefinisikan bagaimana

pengelolaan layanan yang terintegrasi, berbasiskan

proses, dan praktik-praktik terbaik yang diterapkan di

dalam organisasi

Penjelasan framework ITIL

7 set yang menjadi fokus dalam ITIL adalah sebagai berikut :

Pertama, dukungan layanan; menggambarkan komponen-

komponen yang berkaitan dengan penyediaan stabilitas dan

fleksibilitas untuk layanan TI. Topik ini berhubungan dengan

identifikasi dan merekam konfigurasi TI seperti barang, kejadian,

masalah, dan perubahan. Topik ini melingkupi meja layanan,

pengelolaan kejadian, pengelolaan masalah, pengelolaan

perubahan, pengelolaan rilis, dan pengelolaan konfigurasi.

Kedua, penghantaran layanan; mendeskripsikan proses yang

dibutuhkan untuk menghantarkan layanan TI yang berkualitas

dan efektif secara biaya, yang melingkupi pengelolaan

ketersediaan, pengelolaan kapasitas, pengelolaan

keberlangsungan layanan TI, pengelolaan tingkat layanan, dan

pengelolaan keuangan untuk layanan TI.

Cont..

Ketiga, pengelolaan keamanan; melingkupi keamanan dari

penyedia layanan dan mengidentifikasi bagaimana pengelolaan

keamanan berhubungan dengan petugas keamanan TI.

Keempat, perspektif bisnis; melingkupi isu-isu yang berkaitan

dengan TI yang harus dihadapi oleh para manajer bisnis.

Kelima, pengelolaan infrastruktur ICT; melingkupi pengelolaan

layanan jaringan, pengelolaan operasi, pengelolaan pemroses

lokal, instalasi komputer dan penerimaan, dan pengelolaan

system.

Cont..

Keenam, pengelolaan aplikasi; melingkupi dukungan siklus

hidup PL, pengujian dari layanan TI dan perubahan bisnis

dengan penekanan pada kebutuhan yang jelas, definisi dan

implementasi dari solusi untuk memenuhi kebutuhan bisnis

pengguna.

Ketujuh, perencanaan untuk mengimplementasikan

pengelolaan layanan; melingkupi cara bagaimana memulai

ITIL dalam organisasi dan membantu organisasi dalam

mengidentifikasi kekuatan dan kelemahannya.

IT Service Management (IT SM) memfokuskan diri pada 3 tujuan

utama, yaitu

(1) Menyelaraskan layanan TI dengan kebutuhan sekarang dan

akan datang dari bisnis dan pelanggannya;

(2) Memperbaiki kualitas layanan-layanan TI; dan

(3) Mengurangi biaya jangka panjang dari pengelolaan layanan-

layanan tersebut.

Standar ITIL berfokus kepada pelayanan customer dan sama

sekali tidak menyertakan proses penyelarasan strategi

perusahaan terhadap strategi yang dikembangkan.

ISO/IEC 17799

ISO/IEC 17799 dikembangkan oleh The International

Organization for Standardization (ISO) dan The International

Electrotechnical Commission (IEC), dengan titel ”Information

Technology - Code of Practice for Information Security

ISO/IEC 1799 bertujuan memperkuat 3 elemen dasar

keamanan informasi, yaitu

(1) Confidentiality, memastikan bahwa informasi hanya

dapat diakses oleh yang berhak;

(2) Integrity, menjaga akurasi dan selesainya informasi

dan metode pemrosesan; serta

(3) Availability, memastikan bahwa user yang terotorisasi

mendapatkan akses kepada informasi dan aset yang

terhubung dengannya ketika memerlukannya

ISO/IEC 17799 terdiri dari 10 domain,

yaitu (1) Security policy, memberikan panduan dan masukan

pengelolaan dalam meningkatkan keamanan informasi;

(2) Organizational security, memfasilitasi pengelolaan keamanan

informasi dalam organisasi;

(3) Asset classification and control, melakukan inventarisasi aset dan

melindungi aset tersebut dengan efektif;

(4) Personnel security, meminimalisasi resiko human error,

pencurian, pemalsuan atau penggunaan peralatan yang tidak

selayaknya;

(5) Physical and environmental security, menghindarkan violation,

deterioration atau disruption dari data yang dimiliki;

Cont..

(6) Communications and operations management, memastikan

penggunaan yang baik dan selayaknya dari alat-alat pemroses

informasi;

(7) Access control, mengontrol akses informasi;

(8) Systems development and maintenance, memastikan bahwa

keamanan telah terintegrasi dalam sistem informasi yang ada;

(9) Business continuity management, meminimalkan dampak

dari terhentinya proses bisnis dan melindungi proses-proses

perusahaan yang mendasar dari kegagalan dan kerusakan yang

besar; serta

(10) Compliance, menghindarkan terjadinya tindakan

pelanggaran atas hukum, kesepakatan atau kontrak, dan

kebutuhan keamanan.

COSO – Committee of Sponsoring Organization of the Treadway Commission

COSO merupakan kependekan dari Committee of Sponsoring

Organization of the Treadway Commission, sebuah organisasi di

Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan

finansial mencakup etika bisnis, kontrol internal dan corporate

governance. Komite ini didirikan pada tahun 1985 untuk mempelajari

faktor-faktor yang menunjukkan ketidaksesuaian dalam laporan

finansial

Awal tahun 90-an, Pricewaterhouse Couper bersama komite ini

melakukan extensive study mengenai kontrol internal, yang

menghasilkan COSO Framework yang digunakan untuk mengevaluasi

efektifitas kontrol internal suatu perusahaan. Sejak itu, komunitas

finansial global, termasuk badan-badan regulator seperti public

accounting dan internal audit professions, telah mengadopsi COSO

Keuntungan COSO

Keuntungan implementasi COSO framework akan didapat oleh

(1)CEO/CFO perusahaan yang menerapkan SEC dan mereka yang

memerlukan standar Sarbanes-Oxley test section 302 dan 404;

(2)CEO/CFO perusahaan yang menjadi bagian SEC dan mungkin

memerlukan layanan kantor pusat untuk beberapa tes;

(3)Manajer kunci (biasanya dalan keuangan) dan auditor internal

yang bekerja untuk organisasi di atasnya dan memerlukan bantuan

informasi dari CEO/CFO, agar mereka dapat menerapkan standar

Sarbanes-Oxley; dan

(4)Manajer senior yang memerlukan kepastian organisasi, apakah

telah memiliki sistem kontrol internal untuk menyediakan

kemampuan memasarkan dan meningkatkan harga saham

Kerangka Kerja COSO

Kerangka kerja COSO terdiri atas 3 dimensi.

Pertama, komponen kontrol COSO. COSO mengidentifikasi 5

komponen kontrol yang diintegrasikan dan dijalankan dalam semua

unit bisnis, dan akan membantu mencapai sasaran kontrol internal,

yakni monitoring, information and communications, control activities,

risk assessment, dan control environment.

Kedua, sasaran kontrol internal (a) operations, (b) Financial dan

Financial Reporting

Ketiga, unit/aktifitas terhadap organisasi. Dimensi ini

engidentifikasikan unit/aktifitas pada organisasi yang menghubungkan

kontrol internal.

COBIT (Control Objectives for Information and related

Technology)

COBIT Framework dikembangkan oleh IT Governance Institute, sebuah

organisasi yang melakukan studi tentang model pengelolaan TI yang

berbasis di Amerika Serikat. COBIT berorientasi pada bisnis dan di-

design dan dikerjakan tidak hanya oleh user dan auditor, tetapi juga

sebuah panduan kemprehensif bagi pihak manajemen maupun pemilik

bisnis proses tersebut

COBIT memberikan sebuah Maturity process untuk mengendalikan

proses TI sehingga pihak manajemen dapat memetakan di mana posisi

perusahaan tersebut, keadaan perusahaan sesuai tidaknya dengan class

industry ataupun terhadap standar internasional

Key goal indicator dan key performance indicator menjadi landasan

tolak ukur bagi mengukur keberhasilan TI dalam mencapai tujuan dan

kesesuaianya dengan kebijakan organisas

Framework

COBIT Framework terdiri atas 4 domain utama, yakni

(1) Plan and organize. Domain ini menitikberatkan pada proses

perencanaan dan penyelarasan strategi TI dengan strategi

perusahaan;

(2) Acquire and implement. Domain ini menitikberatkan pada

proses pemilihan, pengadaan, dan penerapan teknologi

informasi yang digunakan;

(3) Deliver and support. Domain ini menitikberatkan pada proses

pelayanan TI dan dukungan teknisnya;

(4) Monitor and evaluate. Domain ini menitikberatkan pada

proses pengawasan dan mengevaluasi pengelolaan TI pada

organisasi.

Maturity model

COBIT mempunyai model kematangan (maturity model) untuk

mengontrol proses-proses TI, dengan menggunakan metode penilaian

(scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang

dimilikinya dari skala non-existent sampai dengan optimized (dari 0

sampai 5). Maturity model ini akan memetakan

(1) Current status dari organisasi, untuk melihat posisi organisasi saat

ini;

(2) Current status dari kebanyakan industri saat ini, sebagai

perbandingan;

(3) Current status dari standar internasional, sebagai perbandingan

tambahan; dan

(4) Strategi organisasi dalam rangka perbaikan, level yang ingin dicapai

oleh organisasi.

Selain itu, COBIT juga mempunyai ukuran-ukuran lainnya sebagai

berikut.

Pertama, Critical Success Factors (CSF), yaitu mendefinisian hal-

hal atau kegiatan penting yang dapat digunakan manajemen untuk

dapat mengontrol proses-proses TI di organisasinya.

Kedua, Key Goal Indicators (KGI), yaitu mendefinisikan ukuran-

ukuran yang akan memberikan gambaran kepada manajemen apakah

proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis

yang ada.

KGI biasanya berbentuk kriteria informasi

(1) Ketersediaan informasi yang diperlukan dalam mendukung

kebutuhan bisnis;

(2) Tidak adanya resiko integritas dan kerahasiaan data;

(3) Efisiensi biaya dari proses dan operasi

(4) Konfirmasi reliabilitas, efektifitas, dan compliance.

Ketiga, Key Performance Indicators (KPI) yaitu mendefinisikan

ukuran-ukuran untuk menentukan kinerja proses-proses TI

dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI

biasanya berupa indikator-indikator kapabilitas, pelaksanaan, dan

kemampuan sumber daya TI.

Any Questions?

Pertemuan 1 : IT Governance ( Tata Kelola IT) M. Arief...

Documents

Transcript of Pertemuan 1 : IT Governance ( Tata Kelola IT) M. Arief...