Pertemuan 1 : IT Governance ( Tata Kelola IT) M. Arief...
Transcript of Pertemuan 1 : IT Governance ( Tata Kelola IT) M. Arief...
Pertemuan 1 :IT Governance ( Tata Kelola IT)
M. Arief Soeleman
• Investasi Teknologi Informasi yang sampai menghabiskanmilyaran rupiah pada perusahaan skala menengah dan besartersebut, sepertinya sudah tidak ekonomis lagi jika hanyaditujukan untuk meningkatkan efisiensi, efektivitas dankecepatan kerja organisasi.
• Perkembangan TI yang semakin canggih dan serba bisatersebut, mulai diarahkan menjadi enabler terhadappeningkatan kinerja suatu organisasi.
• Yang kemudian memunculkan kesadaran, terutama di duniaindustri, bahwa tanggung jawab pengelolaan TI tidak bisasepenuhnya diserahkan ke unit/bagian/divisi yang hanyakhusus menangani TI secara teknikal (IT Function)sebagaimana pendekatan manajemen konvensional, melainkanjuga harus menjadi tanggung jawab berbagai pihak manajemendalam suatu organisasi. Hal inilah yang kemudian melahirkankonsep dan paradigm baru dalam mengelola TeknologiInformasi yang disebut dengan IT Governance (Tata KelolaTeknologi Informasi).
Latar Belakang
Cont..
• Banyak proyek TI strategic yang penting justru gagal dalampelaksanaan, yang disebabkan proyek TI hanya ditanganioleh teknisi TI tanpa keterlibatan eksekutif dan visidepertemen TI tidak selaras visi korporasi.
• IT Governance merupakan suatu komitmen, kesadaran danproses pengendalian manajemen organisasi terhadapsumber daya TI/sistem informasi yang dibeli dengan hargamahal tersebut, yang mencakup mulai dari sumber dayakomputer (software, brainware, database dan sebagainya)hingga ke Teknologi Informasi dan Jaringan LAN/Internet.
• Lalu, apa sebenarnya yang dimaksud dengan Tata Kelola(Governance) itu? Kenapa akhir-akhir ini semakin popular ?
Cont..
• “Governance” merupakan turunan dari kata“government”, yang artinya membuat kebijakan(policies) yang sejalan/selaras dengankeinginan/aspirasi masyarakat atau kontituen (Handler& Lobba, 2005).
• Sedangkan penggunaan pengertian “governance”terhadap Teknologi Informasi (IT Governance)maksudnya adalah, penerapan kebijakan TI di dalamorganisasi agar pemakaian TI (berikut pengadaan danpelayanannya) diarahkan sesuai dengan tujuanorganisasi tersebut
Cont..
• Menurut Sambamurthy and Zmud (1999), IT Governancedimaksudkan sebagai pola dari otoritas/kebijakan terhadapaktivitas TI (IT Process). Pola ini diantaranya adalah:membangun kebijakan dan pengelolaan IT Infrastructure,penggunaan TI oleh end-user secara efisien, efektif danaman, serta proses IT Project Management yang efektif.
• Standar COBIT dari lembaga ISACA di Amerika Serikatmendefinisikan IT Govrnance as a “structure of relationshipsand processes to direct and control the enterprise in order toachieve the entreprise’s goals by value while balancing riskversus return over IT and its processes”.
Cont..
• Istilah tatakelola (governance) juga sering dikaburkan dengan istilah pemerintahan (government), pdahal keduanya mempunyai arti yang berbeda.
• Pemerintahan dibangun untuk menjalankan (governance).
• Istilah pemerintahan lebih berkonotasi ke organisasi politik.
• Organisasi bisnis lebih banyak menggunakan istilah korporat disbanding dengan istilah pemerintahan
• Tatakelola korporat merujuk pada proses dan strktur untuk merencanakan arah pengelolaan organisasi sehingga dapat mencapai tujuan efektif.
Cont..
• Menurut Oltsik (2003) mendefinisikan IT Governancesebagai kumpulan kebijakan, proses/aktivitas danprosedur untuk mendukung pengoperasian TI agarhasilnya sejalan dengan strategi bisnis (strategiorganisasi).
• Ruang lingkup IT Governance di perusahaan skalabesar biasanya mencakup hal-hal yang berkaitandengan Change Management, Problem Management,Release Management, Availability Management danbahkan Service-Level Management
Cont..
• Lebih lanjut Oltsik mengatakan bahwa IT Governanceyang baik harus berkualitas, well-defined dan bersifat“repeatable processes” yang terukur (metric).
• IT Governance yang dikembangkan dalam suatuorganisasi modern berfungsi pula mendefinisikan(outline) kebijakan-kebijakan TI, menetapkan prosedurpenting IT Process, dokumentasi aktivitas TI, termasukmembangun IT Plan yang efektif berdasarkanperubahan lingkungan perusahaan dan perkembanganTI.
Kenapa Tatakelola ..penting?
• Adanya perubahan peran TI, dari peran efisiensi ke peran strategic yang harus ditangani di level korporat
• Banyak proyek TI strategic yang penting namun gagal hanya karena ditangani teknisi
• Keputusan TI di dewan direksi sering bersifat ad hoc alias tidak terencana baik
• TI merupakan pendorong utama proses transformasi bisnis yang memberi imbas penting bagi organisasi dalam pencapaian visi, misi dan tujuan strategic
• Kesuksesan pelaksanaan TI harus dapat terukur melalui metric tatakelola TI.
Untuk mewujudkan IT Governance dalam suatu organisasi, maka suatu organisasi harus membangun struktur yang dinamakan dengan IT Governance Framework, yang kira-kira polanya sebagai berikut:
What is IT Governance?
IT Governance Event - UCISA 11
working definition
IT governance is the formal process of defining the
strategy of the IT organization and overseeing its
execution to achieve the goals of the enterprise.
Aligned/synchronized with the
enterprise strategy, including other
key asset strategies
Decision rights
framework &
mechanisms
Vision,
goals/priorities, measures; value
prop & service portfolio;
resource approaches &
commitments;
change management
plans
Translation into
aligned, tactical, operational
plans; closed-loop monitoring & control;
accountability;
regulatory compliance
Cont..
• Berdasarkan struktur IT Governance maka semuasistem informasi yang ada di perusahaan (SistemInformasi Bisnis) dapat diarahkan (govern) agar sejalandan mendukung strategi organisasi. Dengan demikian,maka keberadaan berbagai bentuk sistem informasidalam naungan SIM (Sistem InformasiManajemen/SIM) perusahaan.
• Demikian pula, perusahaan kemudian dapat mereduksi resiko dari penggunaan TI (IT Risk) dan pengendalian IT Process (disebut dengan IT Control) menjadi optimal.
Governance Model
Pada saat ini, Teknologi Informasi (TI) merupakan bagian yangtidak bisa terpisahkan dari suatu perusahaan. Ilmu dan teknologiyang bergerak maju dan berkembang ternyata tidak sedikitmenimbulkan masalah, terutama dalam menghadapi kompleksitasdan intensitas tantangan yang semakin berat.
Pimpinan dan para pembuat kebijakan perusahaan dituntutberpikir kreatif untuk menemukan berbagai terobosan strategi yangmampu menciptakan sinergi, yang memberi kontribusi optimaldalam pencapaian tujuan perusahaan
Namun, kenyataannya sering kita jumpai bahwa pemanfaatan TIitu justru menghabiskan sumber daya, sementara hasil yangdiharapkan tidak tercapai
IT Governance Event - UCISA
Cont...
Untuk itu, perlu dilakukan manajemen informasi efektif danpemanfaatan teknologi secara efisien. Hal ini sudah seringdikemukakan dan dibahas. Dari pembahasan itu, makindisadari pentingnya “IT Governance”.
IT Governance adalah sebuah struktur dari hubungan relasidan proses untuk mengarahkan dan mengendalikan suatuperusahaan dalam mencapai tujuan dengan memberikan nilaitambah ketika menyeimbangkan resiko dengan menyesuaikanTI dan proses bisnis perusahaan
IT Governance muncul sebagai jembatan antara scope bisnisdengan TI, yang disebabkan terjadinya sebuah gap antarateknologi yang diterapkan tidak sesuai dengan yangdiharapkan.
IT Governance bukanlah suatu manajemen tersendiri, tetapipada dasarnya juga merupakan bagian dari manajemenperusahaan
Cont..
Manfaat IT Governance itu sendiri pada dasarnya sangat sulituntuk dikuantifikasikan karena ukuran keberhasilanpenanganan TI itu pada dasarnya bersifat intangible.
Penelitian IT Governance Institute (ITGI) menunjukkan bahwa TI telah bergeser dari isu teknologi menjadi isu manajemen dan pengelolaan.
Penerapan TI di perusahaan akan dapat dilakukan denganbaik apabila ditunjang dengan suatu pengelolaan TI (ITGovernance) dari mulai perencanaan sampai implementasinya
IT Governance yang tidak efektif akan menjadi awal terjadinya pengalaman buruk yang dihadapi perusahaan seperti :
Kerugian bisnis, berkurangnya reputasi dan melemahnyaposisi kompetisi;
Tenggang waktu yang terlampaui, biaya lebih tinggi dari yangdiperkirakan, dan kualitas lebih rendah dari yang telahdiantisipasi;
Efisiensi dan proses inti perusahaan terpengaruh secaranegatif oleh rendahnya kualitas penggunaan TI;
Kegagalan inisiatif TI untuk melahirkan inovasi ataumemberikan keuntungan yang dijanjikan;
Penggunaan standar IT Governance mempunyai
• 1. Enterprise activities, as defined by the Malcolm Baldrige National
Quality Award:4
• Business processes are those nonproduct/nonserviceprocesses that are considered the most important to business growth and success by senior leaders.
• Examples include research and development, technology acquisition, information and knowledge management, supply chain management, supplier and customer partnering, outsourcing, merger and acquisition, global expansion, project management and marketing.
• Support processes are those that support daily operations and product and service delivery but are not usually designed in detail with the products and services.
• Examples are financial and accounting, facilities management, legal services, human resource services, public relations and other administrative services.
• Core processes are the enterprise’s key products and service design
.
2. Resources
Intangible resources are useful information/knowledge bases.• These are the most critical resources for extended enterprise
governance because the governance structure heavily relieson a knowledge portal sharing among the partners.
• Intellectual resources on one enterprise owner is never enough; the senior management should orchestrate thedynamic combination of complementary skills and assets of the partners to generate and then realize innovative ideasand product improvements.
• Tangible resources are financial, human, facilities, and similar resources. Normally, complementary skills (intangibleresources) are combined with these assets (tangible resources) to produce world-class products and services.
3. Objectives, goals, and expectations: values
• Values are the driver for objectives, goals, and expectations.
• Sharing the same goals among partners is a critical success factor of the governance of the extended enterprise. Goals/
• objectives are set through strategic planning and translatedinto activities that will ensure reaching the goal through theeffective use of operational planning
Keuntungan
Pertama, The Wheel Exists, penggunaan standar yang sudahada dan mature akan sangat efisien. Perusahaan tidak perlumengembangkan sendiri framework dengan mengandalkanpengalamannya sendiri yang tentunya sangat terbatas.
Kedua, Structured, standar-standar yang baik menyediakansuatu framework yang sangat terstruktur, yang dapat denganmudah dipahami dan diikuti oleh manajemen. Lebih lanjut lagi,framework yang terstruktur dengan baik akan memberikansetiap orang pandangan yang relatif sama.
Ketiga, Best Practices, standar-standar tersebut telahdikembangkan dalam jangka waktu yang relatif lama danmelibatkan ratusan orang dan organisasi di seluruh dunia.Pengalaman yang direfleksikan dalam model-modelpengelolaan yang ada tidak dapat dibandingkan dengan suatuusaha dari satu perusahaan tertentu
Cont..
Keempat, Knowledge Sharing, dengan mengikuti standar yangumum, manajemen akan dapat berbagi ide dan pengalamanantar organisasi melalui user groups, website, majalah, buku,dan media informasi lainnya.
Kelima, Auditable, tanpa standar baku, akan sangat sulit bagiauditor, terutama auditor dari pihak ketiga untuk melakukankontrol secara efektif. Dengan adanya standar, maka baikmanajemen maupun auditor mempunyai dasar yang samadalam melakukan pengelolaan
Apa bedanya IT Compliance dengan IT Governance?
• IT Compliance adalah pelaksanaan dan pengelolaan teknologiinformasi yang sesuai dengan standar yang diterapkan dalamlingkungan atau institusi tertentu.
• Jika Anda berasumsi bahwa IT Compliance menyangkut aspekteknologi saja. IT Policy Compliance (kepatuhan akan kebijakan TI)boleh dikatakan sebagai satu ekosistem lengkap yang mencakup:
Tujuan strategis organisasi. Pelatihan dan kesadaran Pengguna komputer. Kebijakan di tingkat atas. Prosedur dan standar. Pengaturan konfigurasi. Kontrol terhadap teknologi. Pemantauan yang berkelanjutan
Secara keseluruhan, kepatuhan adalah tentang manusia, proses, danteknologi. Banyak perusahaan yang memberikan perhatian terlalubanyak kepada teknologi dan akhirnya gagal dalam audit karenakurangnya perhatian terhadap faktor manusia dan proses.
Perbedaan Mengatur dan Menatakelola TI
Kriteria Mengatur Menatakelola
Scope Lebih sempit karenabagian tatakeloal
Lebih luas
Mekanisme Departemen TI Korporasi
Keputusan TI Keputusan spesifik Korporasi
Fokus Proses internal Inter dan eksternal
Horison Sekarang dan jangkapajang
Jangka panjang
Objek keputusan Kep yg dibuat Siapa dan bagaimanamembuat keputusan
Proses Implemen Dapat dialihkan Insouring
Personil Manajer TI (CIO) Dewan direksi
Beberapa contoh standar pemerintah dan industri yang mempengaruhi kebijakan kepatuhan TI misalnya:
Control Objectives for Information and Related IT (COBIT).
National Institute of Standards and Technology (NIST) standards.
International Standards Organization (ISO) 27001.
Information Technology Infrastructure Library (ITIL).
Payment Card Industry Data Security Standard (PCI DSS).
NERC Critical Infrastructure Protection (CIP) standards.
Federal Financial Institution Examination Council (FFIEC) Informatio
Dengan analogi diatas, maka IT Governance posisinya sama dengan QA (kebijakan, prosedur, defect prevention) sedangkan IT Compliance identik dengan peranan QC (produk dihasilkan).
Beberapa standar model :
Ada berbagai standar model IT Governance yang banyakdigunakan saat ini, antara lain :
ITIL (The IT Infrastructure Library),
ISO/IEC 17799 (The International Organization for Standardization/The International Electro technical Commission),
COSO (Committee of Sponsoring Organization of the Treadway Commission), and
COBIT (Control Objectives for Information and related Technology).
.. Keseimbangan CIO’s diantara prioritas.
IT Governance Event - UCISA 30
Reduce risk:• Ensure security and continuity
of internal business operations, while minimizing exposure to external risk factor
Maximize return:• Improve business results;
grow revenue and earnings, cash flow, reducedcost-of-operation
Improve performance:
• Improve business operations performance end-to-end across the enterprise
• Increase customer and employee satisfaction
Increase agility:• Enable the business organization
and operations to adapt to changing business needs
Strategic Alignment Model (SAM)Henderson dan Venkrataman
Needs, Issues & Challenges
IT Governance Event - UCISA 33Procedure, Audits, Metrics
Control
StrategicTactical
Operations
Demand
IT andBusiness
Resources
Supply
Capital, Capacity, Priorities
Planning
Alignment Flexibility
EfficiencyQuality
Kurangnya strategy bisnis selaras
Mengurangi seluruh bea bisnisIneffective project Management
Kompleksitas deployment karena
kurangnya standar dan dokumen
Tidak ada audit
Manajemen layanan perubahan
Menurunkan Biaya IT sd 30%
Kurang transparan pada sumber daya IT
Target tidak tercapai karena kurangnya kontrol
Mendeploy kompleksitas dalam
beberapa project
Tidak dapat agregat kebutuhan
dan mendistribusi ROI
Tidak ada cara yg mengatur kontrak
outsourcing
Tidak ada panduan permintaan
No means of prioritization of
business need
Tidak ada cara pelaporan
Membuat keputusan
perusahaan baru / outsourcing
IT Governance Event - UCISA 34
Budget available to support innovation
Note: percents do not sum to 100 due to range format question structure.
Discretionary vs. Nondiscretionary
36% of the average CIO’s budget
can be devoted to providing
new capabilities.
Q: What percent of your total IT budget is devoted to: Non-discretionary
items infrastructure, support and maintenance or Discretionary items
new capabilities?Source: CIO Magazine “The State of the CIO” online survey, January 2012
IT Governance Event - UCISA 35
How many IT projects have positivebusiness outcomes?…
43%
57%
...still not enough!
Half or less
More than half
51%49%
Worldwide EMEA
IT Governance Event - UCISA 36
Driving Innovation
By transforming the % of IT spending consumed by ongoing operations …
Application maintenance
Application innovation
Infrastructure maintenance
Infrastructure innovation
5%
30%
42%
Today
23%
72%
28%
In 3 years
15%
30%
45%
10%
45%
55%
In 3 years
15%
30%
45%
10%
45%
55%
IT Governance Event - UCISA 37
Tangible Benefits
Cost avoidance
• Stopped $8 mill in projects unlikely to deliver expected business value
• Saved $3.7 mill by avoiding investment in non-viable projects
• IT spend not aligned to IT strategy reduced by 25%
• IT project scope change orders reduced by 57%
Cost reduction
• “At risk” projects reduced by over 30%
• Audit costs reduced by £1.2 mill per year
• IT labour costs reduced by $320k
• IT budget on target
Efficiency gains
• Reduced project funding process from 6 weeks to 1 week
• Schedule tracking and updating lead time reduced by 67%
• Reporting efficiency increased by 75%
• IT labour efficiency increased by 10%
• Project management bandwidth increased by 12%
• Demand queue reduced by 67%
Who are the Decision Makers?
IT Governance Event - UCISA 38
Business and IT
Collaboration
IT DecisionBusiness Decision
De-centralised
Centralized
Federal
Business Exec.
Business Exec./Mgt.
Business Mgt.
IT Exec.
IT Exec./Mgt.
IT Management
Business and IT Exec.
Business and IT
Exec./Mgt.
Business and IT Mgt.
Non-Cooperative Cooperative
Anarchy
Core Competencies for Effective IT Governance
IT Governance Event - UCISA 39
Enterprise
Architecture
Managemen
t
Relationship
Management
IT Strategy
Management
Financial
Managemen
t
Supply /
Demand
Management
Portfolio
Management
IT Operating
Model
• Align operational and
strategic IT investments to
business strategies &
objectives.
• Establish
policies,
standards,
models and
processes for
managing IT
as an
enterprise
asset• Lifecycle management of
infrastructure, applications
and services
• Understand the
drivers of IT
costs to allocate
appropriate
costs to the
consumers of IT
services.
• Establish effective, collaborative
relationships with business
stakeholders and suppliers.
• Balance the demand for IT services
with available resources to meet
immediate and strategic goals.
IT Governance Event - UCISA 40
40
Optimized Business Value
Impact
Enterprise Cost Management
IT Cost TransferIT Cost
MinimizationExpense Driven, Budget Focused
Balanced & Aligned Adaptive
Enterprise
Enterprise Demand Driven
Supply Constrained
Deliver to Budget
Technology Centric
Technology-based Services
Service Centric Business Centric Customer Centric
IT Operating Model
Relationship Management
Management
Financial Management
IT Strategy Management
Ad Hoc or IT Centric
Technology Based
Supply Constrained
Value Based Demand Driven
Silo IT Process-BasedBusiness Process
BasedInternal Service
ProviderShared Services
Balanced & Aligned Multi-
Sourcing
ITG
o vern
ance
Capabili
tyD
om
ain
s
None
Technology Based
Supply Constrained
Value Based Demand Driven
Silo IT Process-BasedBusiness Process
BasedInternal Service
ProviderShared Services
Balanced & Aligned Multi-
Sourcing
ITG
o vern
ance
Capabili
tyD
om
ain
s
None UtilityUtility Dependent Agile
Portfolio Management
Level 1: Initial Level 2: Repeatable Level 4: ManagedLevel 3: Defined Level 5: Optimized
Role of IT
IT Governance Capability Levels
IT Governance Capability Model
Ad Hoc Review of Portfolio
Synergies
IT Cost Minimization
Emerging ROI Based Funding
Business Unit Aligned
Enterprise IT Portfolio
Management
Optimized Business Value
Impact
Enterprise Cost Management
IT Cost TransferIT Cost
MinimizationExpense Driven, Budget Focused
Balanced & Aligned Adaptive
Enterprise
Enterprise Demand Driven
Supply Constrained
Deliver to Budget
Technology Centric
Technology-BasedServices
Service Centric Business Centric Customer Centric
IT Operating Model
Business Relationship Management
Supply / Demand Management
Financial Management
Agile Enterprise Architecture
Architecture Driven Design
Business Strategy Linked
Program-based Architecture Management
Ad hoc Technical Architecture
Enterprise Architecture Management
Integrated Enterprise Architecture &
Business Planning
Architecture-
Compliant Design
Business Strategy
Aligned Architecture
Initial Enterprise
Architecture Program
Ad hoc / Ineffective
Enterprise Architecture
Enterprise Architecture Management
Agile Enterprise Architecture
Architecture Driven Design
Business Strategy Linked
Program-based Architecture Management
Ad hoc Technical Architecture
Enterprise Architecture Management
Integrated Enterprise Architecture &
Business Planning
Architecture-
Compliant Design
Business Strategy
Aligned Architecture
Initial Enterprise
Architecture Program
Ad hoc / Ineffective
Enterprise Architecture
Enterprise Architecture Management
IT Strategy Management
Ad Hoc or IT Centric
Technology Based
Supply Constrained
Value Based Demand Driven
Silo IT Process-BasedBusiness Process
BasedInternal Service
ProviderShared Services
Balanced & Aligned Multi-
Sourcing
ITG
o vern
ance
Capabili
tyD
om
ain
s
None
Technology Based
Supply Constrained
Value Based Demand Driven
Silo IT Process-BasedBusiness Process
BasedInternal Service
ProviderShared Services
Balanced & Aligned Multi -
Sourcing
ITG
o vern
ance
Capabili
tyD
om
ain
s
None UtilityUtility Dependent Agile
Portfolio Management
1: Initial 2: Repeatable 4: Managed3: Defined 5: Optimized
Role of IT
IT Governance
Capability Levels
IT Governance Capability Model
Ad Hoc Review of Portfolio Synergies
IT Cost Minimization
Emerging ROI Based Funding
Business Unit Aligned
Enterprise IT Portfolio
Management
The IT Governance Capability Model
IT Governance Event - UCISA 41
41
IT Governance Models- the 5 Characteristics
Corporate Governance
IT Governance Framework
Val IT
Cobit
ITIL
ISO
PPM Methods
…
BTO portfolio
Business Change
Org. Alignment & Competencies
Processes
Technology
People
Value Benefits Assurance
There are many models.
But they share 5 characteristics:
• Underpinned by processes that must be implemented (e.g. Incident management)
• Supported by technology
• Define business change issues to be addressed
• Define organisational realignment to be achieved
• Include some way of measuring the value to be achieved (e.g. balanced scorecard)
11 September 2008 IT Governance Event - UCISA 423 April 2016 42
How to Implement GovernanceExecute
IT Governance
Assessment
Setup
IT Governance
Framework
Design
IT Governance
Processes
Implement
Supporting Tools
•Execute assessment to identify gaps
•Define new role of IT in organization
•Define evolution roadmap to address the gaps
•Define roles and responsibilities
•Setup communication path to support IT-business alignment
•Define management structures for decision making, reporting and
escalation
•Define policies
•Define processes
•Define KPIs and reporting requirements
•Implement tool to support the execution of the solution
•Implement tools for data collection and management reporting
Continuous
Improvement Plan
(Control Lifecycle)
•Identify indicators to monitor strategy execution
•Define steering committee to manage relationships within IT and between
business & IT
•Review IT strategy periodically and evolve governance environment
Critical success factors for ITG
IT Governance Event - UCISA 43
• Clarity of Purpose
• Senior Management Commitment
• Management of Business Change
• Focus, execute and enforce
• Measure achievable targets and expectations
• Don’t over-engineer IT Governance
• Evolution not revolution
IT IL- (The IT Infrastructure Library)
ITIL dikembangkan oleh The Office of Government Commerce
(OGC), yaitu suatu badan di bawah pemerintah Inggris, yang
bekerja sama dengan The IT Service Management Forum
(ITSMF), suatu organisasi independen mengenai manajemen
pelayanan TI dan British Standard Institute (BSI), suatu badan
penetapan standar pemerintah Inggris. ITIL merupakan suatu
framework pengelolaan layanan TI (IT Service Management –
ITSM)
IT Infrastructure Library (ITIL) adalah serangkaian
dokumen yang digunakan untuk membantu
implementasi dari sebuah kerangka kerja untuk
pengelolaan layanan teknologi informasi (ITSM, IT
Service Management).
Kerangka kerja ini mendefinisikan bagaimana
pengelolaan layanan yang terintegrasi, berbasiskan
proses, dan praktik-praktik terbaik yang diterapkan di
dalam organisasi
Penjelasan framework ITIL
7 set yang menjadi fokus dalam ITIL adalah sebagai berikut :
Pertama, dukungan layanan; menggambarkan komponen-
komponen yang berkaitan dengan penyediaan stabilitas dan
fleksibilitas untuk layanan TI. Topik ini berhubungan dengan
identifikasi dan merekam konfigurasi TI seperti barang, kejadian,
masalah, dan perubahan. Topik ini melingkupi meja layanan,
pengelolaan kejadian, pengelolaan masalah, pengelolaan
perubahan, pengelolaan rilis, dan pengelolaan konfigurasi.
Kedua, penghantaran layanan; mendeskripsikan proses yang
dibutuhkan untuk menghantarkan layanan TI yang berkualitas
dan efektif secara biaya, yang melingkupi pengelolaan
ketersediaan, pengelolaan kapasitas, pengelolaan
keberlangsungan layanan TI, pengelolaan tingkat layanan, dan
pengelolaan keuangan untuk layanan TI.
Cont..
Ketiga, pengelolaan keamanan; melingkupi keamanan dari
penyedia layanan dan mengidentifikasi bagaimana pengelolaan
keamanan berhubungan dengan petugas keamanan TI.
Keempat, perspektif bisnis; melingkupi isu-isu yang berkaitan
dengan TI yang harus dihadapi oleh para manajer bisnis.
Kelima, pengelolaan infrastruktur ICT; melingkupi pengelolaan
layanan jaringan, pengelolaan operasi, pengelolaan pemroses
lokal, instalasi komputer dan penerimaan, dan pengelolaan
system.
Cont..
Keenam, pengelolaan aplikasi; melingkupi dukungan siklus
hidup PL, pengujian dari layanan TI dan perubahan bisnis
dengan penekanan pada kebutuhan yang jelas, definisi dan
implementasi dari solusi untuk memenuhi kebutuhan bisnis
pengguna.
Ketujuh, perencanaan untuk mengimplementasikan
pengelolaan layanan; melingkupi cara bagaimana memulai
ITIL dalam organisasi dan membantu organisasi dalam
mengidentifikasi kekuatan dan kelemahannya.
IT Service Management (IT SM) memfokuskan diri pada 3 tujuan
utama, yaitu
(1) Menyelaraskan layanan TI dengan kebutuhan sekarang dan
akan datang dari bisnis dan pelanggannya;
(2) Memperbaiki kualitas layanan-layanan TI; dan
(3) Mengurangi biaya jangka panjang dari pengelolaan layanan-
layanan tersebut.
Standar ITIL berfokus kepada pelayanan customer dan sama
sekali tidak menyertakan proses penyelarasan strategi
perusahaan terhadap strategi yang dikembangkan.
ISO/IEC 17799
ISO/IEC 17799 dikembangkan oleh The International
Organization for Standardization (ISO) dan The International
Electrotechnical Commission (IEC), dengan titel ”Information
Technology - Code of Practice for Information Security
ISO/IEC 1799 bertujuan memperkuat 3 elemen dasar
keamanan informasi, yaitu
(1) Confidentiality, memastikan bahwa informasi hanya
dapat diakses oleh yang berhak;
(2) Integrity, menjaga akurasi dan selesainya informasi
dan metode pemrosesan; serta
(3) Availability, memastikan bahwa user yang terotorisasi
mendapatkan akses kepada informasi dan aset yang
terhubung dengannya ketika memerlukannya
ISO/IEC 17799 terdiri dari 10 domain,
yaitu (1) Security policy, memberikan panduan dan masukan
pengelolaan dalam meningkatkan keamanan informasi;
(2) Organizational security, memfasilitasi pengelolaan keamanan
informasi dalam organisasi;
(3) Asset classification and control, melakukan inventarisasi aset dan
melindungi aset tersebut dengan efektif;
(4) Personnel security, meminimalisasi resiko human error,
pencurian, pemalsuan atau penggunaan peralatan yang tidak
selayaknya;
(5) Physical and environmental security, menghindarkan violation,
deterioration atau disruption dari data yang dimiliki;
Cont..
(6) Communications and operations management, memastikan
penggunaan yang baik dan selayaknya dari alat-alat pemroses
informasi;
(7) Access control, mengontrol akses informasi;
(8) Systems development and maintenance, memastikan bahwa
keamanan telah terintegrasi dalam sistem informasi yang ada;
(9) Business continuity management, meminimalkan dampak
dari terhentinya proses bisnis dan melindungi proses-proses
perusahaan yang mendasar dari kegagalan dan kerusakan yang
besar; serta
(10) Compliance, menghindarkan terjadinya tindakan
pelanggaran atas hukum, kesepakatan atau kontrak, dan
kebutuhan keamanan.
COSO – Committee of Sponsoring Organization of the Treadway Commission
COSO merupakan kependekan dari Committee of Sponsoring
Organization of the Treadway Commission, sebuah organisasi di
Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan
finansial mencakup etika bisnis, kontrol internal dan corporate
governance. Komite ini didirikan pada tahun 1985 untuk mempelajari
faktor-faktor yang menunjukkan ketidaksesuaian dalam laporan
finansial
Awal tahun 90-an, Pricewaterhouse Couper bersama komite ini
melakukan extensive study mengenai kontrol internal, yang
menghasilkan COSO Framework yang digunakan untuk mengevaluasi
efektifitas kontrol internal suatu perusahaan. Sejak itu, komunitas
finansial global, termasuk badan-badan regulator seperti public
accounting dan internal audit professions, telah mengadopsi COSO
Keuntungan COSO
Keuntungan implementasi COSO framework akan didapat oleh
(1)CEO/CFO perusahaan yang menerapkan SEC dan mereka yang
memerlukan standar Sarbanes-Oxley test section 302 dan 404;
(2)CEO/CFO perusahaan yang menjadi bagian SEC dan mungkin
memerlukan layanan kantor pusat untuk beberapa tes;
(3)Manajer kunci (biasanya dalan keuangan) dan auditor internal
yang bekerja untuk organisasi di atasnya dan memerlukan bantuan
informasi dari CEO/CFO, agar mereka dapat menerapkan standar
Sarbanes-Oxley; dan
(4)Manajer senior yang memerlukan kepastian organisasi, apakah
telah memiliki sistem kontrol internal untuk menyediakan
kemampuan memasarkan dan meningkatkan harga saham
Kerangka Kerja COSO
Kerangka kerja COSO terdiri atas 3 dimensi.
Pertama, komponen kontrol COSO. COSO mengidentifikasi 5
komponen kontrol yang diintegrasikan dan dijalankan dalam semua
unit bisnis, dan akan membantu mencapai sasaran kontrol internal,
yakni monitoring, information and communications, control activities,
risk assessment, dan control environment.
Kedua, sasaran kontrol internal (a) operations, (b) Financial dan
Financial Reporting
Ketiga, unit/aktifitas terhadap organisasi. Dimensi ini
engidentifikasikan unit/aktifitas pada organisasi yang menghubungkan
kontrol internal.
COBIT (Control Objectives for Information and related
Technology)
COBIT Framework dikembangkan oleh IT Governance Institute, sebuah
organisasi yang melakukan studi tentang model pengelolaan TI yang
berbasis di Amerika Serikat. COBIT berorientasi pada bisnis dan di-
design dan dikerjakan tidak hanya oleh user dan auditor, tetapi juga
sebuah panduan kemprehensif bagi pihak manajemen maupun pemilik
bisnis proses tersebut
COBIT memberikan sebuah Maturity process untuk mengendalikan
proses TI sehingga pihak manajemen dapat memetakan di mana posisi
perusahaan tersebut, keadaan perusahaan sesuai tidaknya dengan class
industry ataupun terhadap standar internasional
Key goal indicator dan key performance indicator menjadi landasan
tolak ukur bagi mengukur keberhasilan TI dalam mencapai tujuan dan
kesesuaianya dengan kebijakan organisas
Framework
COBIT Framework terdiri atas 4 domain utama, yakni
(1) Plan and organize. Domain ini menitikberatkan pada proses
perencanaan dan penyelarasan strategi TI dengan strategi
perusahaan;
(2) Acquire and implement. Domain ini menitikberatkan pada
proses pemilihan, pengadaan, dan penerapan teknologi
informasi yang digunakan;
(3) Deliver and support. Domain ini menitikberatkan pada proses
pelayanan TI dan dukungan teknisnya;
(4) Monitor and evaluate. Domain ini menitikberatkan pada
proses pengawasan dan mengevaluasi pengelolaan TI pada
organisasi.
Maturity model
COBIT mempunyai model kematangan (maturity model) untuk
mengontrol proses-proses TI, dengan menggunakan metode penilaian
(scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang
dimilikinya dari skala non-existent sampai dengan optimized (dari 0
sampai 5). Maturity model ini akan memetakan
(1) Current status dari organisasi, untuk melihat posisi organisasi saat
ini;
(2) Current status dari kebanyakan industri saat ini, sebagai
perbandingan;
(3) Current status dari standar internasional, sebagai perbandingan
tambahan; dan
(4) Strategi organisasi dalam rangka perbaikan, level yang ingin dicapai
oleh organisasi.
Selain itu, COBIT juga mempunyai ukuran-ukuran lainnya sebagai
berikut.
Pertama, Critical Success Factors (CSF), yaitu mendefinisian hal-
hal atau kegiatan penting yang dapat digunakan manajemen untuk
dapat mengontrol proses-proses TI di organisasinya.
Kedua, Key Goal Indicators (KGI), yaitu mendefinisikan ukuran-
ukuran yang akan memberikan gambaran kepada manajemen apakah
proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis
yang ada.
KGI biasanya berbentuk kriteria informasi
(1) Ketersediaan informasi yang diperlukan dalam mendukung
kebutuhan bisnis;
(2) Tidak adanya resiko integritas dan kerahasiaan data;
(3) Efisiensi biaya dari proses dan operasi
(4) Konfirmasi reliabilitas, efektifitas, dan compliance.
Ketiga, Key Performance Indicators (KPI) yaitu mendefinisikan
ukuran-ukuran untuk menentukan kinerja proses-proses TI
dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI
biasanya berupa indikator-indikator kapabilitas, pelaksanaan, dan
kemampuan sumber daya TI.
Any Questions?