Program Studi Teknik Informatika, Sekolah Teknik Elektro dan Informatika (STEI) ITB, Jl. Ganesha 10 Bandung

Transkripsi

1 Pengembangan Tata Kelola TI untuk Pengelolaan Sistem Informasi Terintegrasi di Perguruan Tinggi melalui penentuan Kebijakan, Aturan, Pedoman, dan Prosedur Yulhendri 1, Kridanto Surendro 2 1 Unit Sumber Daya Informasi (USDI) ITB, Jl. Taman Sari 64 Bandung, 2 Information Research Group, Program Studi Teknik Informatika, Sekolah Teknik Elektro dan Informatika (STEI) ITB, Jl. Ganesha 10 Bandung yulhendrie@yahoo.com, endro@informatika.org Abstraksi Salah satu tujuan utama Tatakelola TI adalah untuk menyelaraskan setiap proses bisnis yang ada dengan teknologi informasi. Maksudnya adalah dengan membuat struktur dan proses yang diperlukan dalam investasi teknologi informasi, pihak manajemen dapat memastikan bahwa investasi teknologi informasi yang dilakukan sesuai dengan strategi bisnis dan sesuai dengan urutan prioritas yang ada. Pada perencanaan ke depan, investasi teknologi informasi yang dilakukan diharapkan dapat tepat waktu, sesuai dengan dana yang dikeluarkan, dan memberikan nilai tambah sesuai dengan yang diharapkan. Peningkatan nilai tambah yang dimaksud antara lain pengurangan biaya, peningkatan pendapatan, mempercepat proses kerja, dan lain-lain. Pada dasarnya Pengelolaan TI terfokus pada pada dua hal : penyampaian nilai terhadap bisnis yang dilakukan, dan pengurangan terhadap resiko-resiko TI. Yang pertama didorong oleh penyelarasan strategis dari TI terhadap bisnis. Yang kedua didorong oleh akuntabilitas yang menempel pada organisasi. Keduanya perlu didukung oleh sumber daya yang sesuai dan diukur untuk memastikan hasil yang diinginkan telah didapat. Alat yang komprehensif untuk menciptakan adanya Pengelolaan TI di organisasi/institusi adalah penggunaan COBIT (Control Objective of Information Technology) yang mempertemukan kebutuhan beragam manajemen dengan menjembatani celah atau gap antara risiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI. Agar kedua fokus pengelolaan TI itu bisa terlaksana dengan baik maka perlu adanya pengendalian terhadap proses-proses yang dilakukan sehubungan dengan pengelolaan TI. Kegiatan pengendalian perlu didefinisikan dan dikomunikasikan sehingga semua kebijakan, aturan-aturan, pedoman, dan prosedur yang mendorong proses-proses TI didokumentasikan, direview, dipelihara, disetujui, disimpan, dikomunikasikan dan digunakan untuk pelatihan. Bagaimana tanggung jawab dapat dibebankan terhadap setiap aktivitas dan pada waktu yang tepat serta mereview apakah semuanya dilaksanakan secara benar. Memastikan bahwa kebijakan, aturan-aturan, pedoman dan prosedur itu dapat diakses, mempunyai nilai kebenaran, dapat dimengerti dan terkini. Kata Kunci : Tata kelola TI, COBIT, Kebijakan, Aturan, Pedoman, Prosedur. 1. PENDAHULUAN Sebagai salah satu perguruan tinggi terkemuka, keberadaan suatu organisasi yang mengelola sistem dan teknologi Informasi mutlak diperlukan. Unit ini akan menjadi penggerak utama pemanfaatan teknologi informasi dan sekaligus sebagai penentu kebijakan dan perencanaan, pengadaan, pengelolaan, dan pengevaluasian status system dan teknologi informasi. Beberapa hal yang menjadi alasan diperlukannya organisasi pengelola sumber daya informasi yang baik adalah : 1. Tingkat persaingan usaha yang semakin ketat dan bersifat global memerlukan adanya dukungan data dan informasi yang dapat diandalkan. Informasi akan dipergunakan para pengambil keputusan dan para pelaksana dalam menjalankan bisnisnya. 2. Pemanfaatan teknologi informasi yang tepat untuk keperluan operasional yang akan mampu menciptakan suatu penghalang (entry barrier) bagi masuknya pesaing usaha sejenis, terutama institusi pendidikan yang berasal dari luar negeri. 3. Pemanfaatan teknologi informasi yang tepat akan membuat stakeholders merasa senang terhadap perguruan tinggi ini. Diharapkan dengan adanya layanan jasa dengan dukungan teknologi informasi

2 yang baik akan mampu menciptakan switching cost, sehingga masyarakat enggan beralih ke perguruan tinggi yang lain. 4. Adanya kenyataan bahwa keberadaan data yang tersebar di beberapa lokasi, jenis sistem dan teknologi informasi yang beragam, kualifikasi personil yang bermacam-macam menimbulkan permasalahan tersendiri dalam penerapan sistem dan teknologi informasi. Berdasarkan hal tersebut diatas diperlukan adanya suatu tatakelola TI yang baik untuk mendukung kinerja organisasi pengelola Sistem dan Teknologi Informasi yang memiliki karakteristik sebagai berikut : 1. Tingkat kepuasan stakeholder yang tinggi 2. Bersifat efektif terhadap biaya (cost effective) 3. Data terintegrasi dengan baik 4. Proses-proses yang efektif 5. Pelaksanaan komunikasi yang baik (komunikasi internal dan eksternal organisasi pengelola Sistem dan Teknologi Informasi) 6. Memiliki ukuran-ukuran kinerja yang baik 7. Menerapkan proses Disaster Recovery 8. Biaya-biaya layanan terdokumentasi dengan baik 9. Mampu membuat perbandingan (benchmarking) produk dan jasa yang diberikan dengan perguruan tinggi lain yang sekelas. Menurut Forrester [1] terdapat empat objective yang menentukan arah atau bentuk tatakelola TI. Setiap objektif tersebut merupakan bagian dari tatakelola TI seperti pada Gambar 1. Keempat objective itu terdiri dari (1) Accountability (Bisa dipertanggung jawabkan), (2) IT Value and Alingnment (Nilai-nilai TI), (3) Risk Management (Pengelolaan Resiko), dan (4) Performance Measurement (Pengukuran Kinerja). Tatakelola TI bertujuan agar informasi yang dikelola bisa dipertanggunjawabkan, dan informasi yang dihasilkan benar-benar memberikan nilai tambah bagi proses bisnis yang ada pada organisasi. Dan resiko yang akan muncul berhubungan dengan TI bisa diminimalkan dan yang paling penting dari tatakelola TI adalah bisa mengukur kinerja dari pengimplementasian teknologi informasi tersebut. Gambar 1. Dimensi pada Tatakelola TI Tata kelola TI merupakan bagian yang integral dari tata kelola perusahaan dan terdiri dari kepemimpinan dan struktur organisasi serta proses-proses, yang digunakan untuk memastikan bahwa TI perusahaan memelihara dan memperluas strategi dan sasaran perusahaan. Dalam hal ini, tatakelola TI menyediakan struktur yang menghubungkan proses-proses TI, sumber daya TI, dan informasi, dengan strategi dan sasaran perusahaan. Di samping itu, tatakelola TI juga mengintegrasikan dan menginstitusionalkan praktek-praktek terbaik dalam perencanaan dan pengorganisasian (planning and organizing), memperoleh dan mengimplementasikan (acquiring and implementing), menyediakan dan mendukung (delivering and supporting), serta memonitor dan mengevaluasi (monitoring and evaluating) unjuk kerja TI untuk memastikan bahwa informasi dan teknologi yang terkait mendukung sasaran-sasaran bisnis. Dengan demikian, tatakelola TI akan memungkinkan organisasi/institusi mendapatkan keuntungan penuh dari informasi yang dimilikinya, sehingga memaksimalkan manfaat, mengkapitalisasi peluang dan mendapatkan keuntungan kompetitif. Tatakelola TI juga mengidentifikasi kelemahan kontrol dan menjamin adanya implementasi perbaikan yang dapat terukur secara efektif dan efisien. 2. TUJUAN TATA KELOLA TI Penjelasan dari setiap dimensi / objektif tersebut adalah sebagai berikut: 1. IT value and alignment Salah satu tujuan utama tatakelola TI adalah untuk menyesuaikan setiap unit bisnis dengan teknologi informasi. Dengan membuat struktur dan proses yang diperlukan dalam investasi teknologi informasi, pihak manajemen dapat memastikan bahwa investasi teknologi informasi yang dilakukan sesuai dengan strategi bisnis dan sesuai dengan urutan prioritas yang ada. Pada perencanaan ke depan, investasi teknologi informasi yang dilakukan diharapkan dapat tepat waktu, sesuai dengan dana yang dikeluarkan, dan memberikan nilai tambah sesuai dengan yang diharapkan. Peningkatan nilai tambah yang dimaksud antara lain pengurangan biaya, peningkatan pendapatan, mempercepat proses kerja, dan lain-lain. 2. Risk management Manajemen risiko pada teknologi informasi merupakan hal yang sangat penting. Risiko yang biasa dihadapi pada teknologi informasi antara lain serangan virus yang dapat melumpuhkan kerja teknologi informasi, serangan pihak lain dengan tujuan untuk mengacaukan sistem maupun untuk mencuri data, kesalahan sistem, kerusakan sistem pendukung misalnya jaringan listrik putus, dan lain-lain. Semua risiko yang mungkin dihadapi tersebut harus

3 diantisipasi sehingga ketika risiko tersebut terjadi tidak menyebabkan kerugian yang fatal. 3. Accountability Tatakelola TI bertujuan agar investasi pada teknologi informasi dapat dipertanggungjawabkan dan memberikan hasil sesuai yang diharapkan. 4. Performance measurement Pada accountability, investasi teknologi informasi harus dapat dipertanggungjawabkan. Pertanggungjawaban ini berdasarkan suatu ukuran / kriteria tertentu sehingga investasi tersebut dapat dipertanggungjawabkan. Kriteria tersebut dinilai berdasarkan kinerja yang dihasilkan oleh teknologi informasi terhadap proses bisnis dan tujuan organisasi secara keseluruhan. Selanjutnya, yang menjadi perhatian adalah pengukuran unjuk kerja. Tanpa adanya ukuran-ukuran unjuk kerja yang dibuat dan dimonitor, area fokus lainnya sulit untuk mencapai hasil yang diharapkan. Fase pengukuran kinerja meliputi aktivitas audit dan penilaian, serta pengukuran kinerja yang berkelanjutan. Hal ini menjadi penghubung bagi fase alignment dengan menyediakan bukti bahwa arahan yang ditetapkan telah diikuti. Pada area fokus ini, umum digunakan IT balanced scorecard (IT BSC). 3. AREA FOKUS TATAKELOLA TI Pada tatakelola TI terdapat 5 area yang menjadi fokus, yaitu keselarasan strategis (strategic alignment), penyerahan nilai (value delivery), manajemen risiko (risk management), manajemen sumber daya (resource management), dan pengukuran unjuk kerja (performance measurement). Proses-proses strategic alignment meliputi perencanaan strategi bisnis yang melibatkan TI, perencanaan strategis TI, perencanaan operasional TI, serta analisis stakeholder yang meliputi hal layanan (kebutuhan sekarang dan yang akan datang), harapan unjuk kerja dan kepuasan, serta risiko. Pada value delivery, ditekankan bahwa nilai yang diberikan oleh TI harus selaras dengan nilai yang difokuskan oleh bisnis, dan diukur dengan cara yang secara transparan dapat menunjukkan dampak dan kontribusi investasi TI dalam proses pembuatan nilai (value creation) di dalam perusahaan. Prinsip utama dari nilai TI adalah penyerahan tepat waktu, sesuai anggaran, dan memberikan manfaat seperti yang telah diperhitungkan. Dengan demikian, prosesproses TI harus dirancang, diterapkan, dan dioperasikan secara efisien dan efektif. Gambar 2. Siklus Hidup Tatakelola TI 4. FRAMEWORK TATAKELOLA TI dengan COBIT Yang menjadi fokus dalam tatakelola TI adalah kriteria informasi, sumberdaya TI dan proses-proses TI. Kriteria informasi terdiri atas : Effectiveness, Efficiency Confidentiality, Integrity, Availability, Compliance, Reliability. Sumberdaya TI terdiri dari : Aplikasi, Informasi, Infrastruktur, dan SDM TI. Proses-proses TI terdiri atas : Domain-domain, prosesproses, aktivitas-aktivitas Jika value delivery memfokuskan pada pembuatan nilai, manajemen risiko memfokuskan pada proses-proses untuk memelihara nilai (value preservation). Untuk itu, manajemen risiko harus menjadi proses yang berkelanjutan yang dimulai dengan mengidentifikasi risiko (dampak pada aset, ancaman, dan kemudahan diserang), dan dilanjutkan dengan mitigasi risiko dengan menerapkan kontrol-kontrol. Fokus berikutnya yaitu manajemen sumber daya, dengan manajemen sumber daya yang baik, akan tersedia infrastruktur TI yang terintegrasi dan ekonomis, teknologi baru diperkenalkan sesuai kebutuhan bisnis, dan sistem yang obsolete diperbaharui atau digantikan. Di sini, pentingnya sumber daya manusia dapat dikenali, memungkinkan perusahaan mendapatkan keuntungan dari pengetahuan dan keahlian secara internal maupun eksternal. Gambar 3. Fokus Tatakelola TI [2]

4 Framework COBIT terdiri atas empat domain utama yang merupakan proses pengendalian sistem informasi (SI), yaitu : 1. Plan & Organise (PO) Domain ini memiliki 10 Control Objectives, menitik beratkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi organsasi/institusi 2. Acquire and Implement Domain ini memiliki 7 Control Objectives, menitik beratkan pada proses pemilihan, pengadaan dan penerapan TI. 3. Deliver and Support Domain ini memiliki 13 Control Objectives, menitik beratkan pada penyampaian layanan dan dukungan yang harus disiapkan untuk kelancaran proses bisnis organisasi/institusi. 4. Monitori and Evaluate Domain ini memiliki 4 Control Objectives, yang menitik beratkan pada pengawasan dan pengevaluasian proses TI dalam organisasi agar resiko dapat diminimalkan. Sasaran pengendalian Sistem Informasi (SI) adalah : 1. Efektivitas (Effectiveness), menguraikan informasi yang relevan dan berhubungan dengan kebutuhan pengguna dan disampaikan secara tepat waktu, benar dan konsisten. 2. Efisiensi (Efficiency), menyankut ketentuan informasi melalui penggunaan sumberdaya yang optimal (lebih produktif dan ekonomis) 3. Kerahasiaan (Confidentiality), menyangkut perlindungan informasi yang sensitif dari akses yang tidak sah. 4. Integritas (Integrity), berkaitan dengan keakuratan dan kelengkapan informasi serta keabsahannya yang sesuai dengan harapan dan nilai bisnis. 5. Ketersediaan (Availability), berkaitan dengan informasi yang tersedia yang diperlukan oleh pengguna saat ini dan yang akan datang. 6. Ketaatan (Compliance), menguraikan tentang ketaatan pada aturan hukum, peraturan dan persetujuan yang bersifat kontrak atau kesepakatan para pengguna dengan pihak lain (luar). 7. Keandalan (Reliability), berkaitan dengan ketentuan informasi yang memadai bagi manajemen untuk menjalankan dan melaksanakan keseluruhan finansial serta pemenuhan laporan tanggung jawab. 2. Informasi (Information), adalah data-data yang telah diolah untuk kepentingan manajemen dalam membantu mengambil keputusan dalam menjalan roda bisnisnya. Data-data terdiri obyek-obyek dalam pengertian yang lebih luas (yakni internal dan eksternal), terstruktur dan tidak terstruktur, grafik, suara dan sebagainya. 3. Infrastruktur (Infrastructure), mencakup hardware, software, sistem operasi, sistem manajemen database, jaringan (networking), multimedia, dan fasilitas-fasilitas lainnya. 4. Sumber Daya Manusia/SDM (People) Merupakan sumber daya yang paling penting bagi organisasi dalam pengelolaan dan operasionalisasi organisasi. Kesadaran dan produktivitasnya dibutuhkan untuk merencanakan, mengorganisasikan, melaksanakan, memperoleh, menyampaikan, mendukung, dan memantau layanan TI organisasi. 5. PENGUKURAN KINERJA TI Pengukuran Kinerja dialakukan agar manajemen bisa memastikan seberapa baik TI bisa memberikan kontribusi pada keberlangsungan proses bisnis organisasi. Pengukuran kinerja TI biasanya didasarkan pada beberapa ukuran, yaitu : 1. Indikator Tujuan Kunci (Key Goal Indicator/KGI) 2. Indikator Kinerja Kunci (Key Performance Indicator/KPI) 3. Faktor Sukses Kritis (Critical Success Factor/CSF) Sumber daya TI yang diidentifikasikan dalam COBIT dapat diterangkan atau diidentifikasikan sebagai berikut : 1. Aplikasi (Application), merupakan suatu sarana atau tool yang digunakan untuk mengolah dan menyimpulkan atau meringkas, baik prosedur manual maupun yang terprogram. Gambar 4. Contoh Ukuran Kinerja TI Pada PO7 5.1 Key Goal Indicator (KGI) Mendefinisikan ukuran-ukuran yang akan disampaikan ke manajemen-apakah suatu proses TI telah memenuhi

5 persyaratan bisnis, biasanya ditentukan dengan kriteria informasi : a. Ketersediaan informasi yang dibutuhkan untuk mendukung kebutuhan bisnis. b. Tidak adanya integritas dan resiko-resiko kerahasiaan informasi c. Efisiensi biaya proses-proses dan operasional. d. Konfirmasi atas kehandalan, keefektifan dan ketaatan. 5.2 Key Performance Indicator (KPI) Mendefinisikan ukuran-ukuran untuk menerangkan seberapa baik proses TI dilaksanakan dan memungkinkan tujuan dicapai; merupakan indikator utama yang menentukan apakan tujuan bisa dicapai atau tidak; dan merupakan indikator yang bagus untuk penentuan kapabilitas, praktekpraktek dan keahlian-keahlian. 5.3 Critical Success Factor (CSF) merupakan kondisi-kondisi, kompetensi dan perilaku yang bersifat kritis terhadap keberhasilan pencapaian tujuan. Contoh: a. Sensitifitas terhadap kenyataan bahwa IT merupakan sesuatu yang terintegrasi dalam perusahaan dan bukan sesuatu yang hanya dianggap sebagai fungsi teknis. b. Manajamen yang memiliki fokus dan informasi pada pelanggan, pasar dan proses internal. c. Kultur bisnis yang menghasilkan akuntabilitas, teamwork yang baik, memotivasi dilakukannya business improvement secara bekelanjutan dan perbaikan terhadap kesalahan. 6. KEBIJAKAN, PEDOMAN, ATURAN, dan PROSEDUR[4] Kebijakan, pedoman, aturan dan prosedur dibuat dalam rangka pemenuhan ketaatan (compliance) terhadap aturan yang telah disepakati, hukum yang berlaku serta terhadap kontrak yang dibuat dengan pihak lainnya. Aspek ketaatan ini perlu digaris bawahi agar semua proses bisnis terdefinisi dengan jelas dan diikuti dengan aturan-aturan, kebijakan, pedoman serta prosedur yang akan memandu setiap proses proses bisnis yang berlangsung di organisasi/instusi tersebut. Dengan adanya kebijkan, pedoman, aturan, dan prosedur ini maka setiap proses bisnis terdefinisi dengan baik sampai ke aktivitas-aktivitas terkecilnya. 6.1 Kebijakan (Policy) Kebijakan mengandung pengertian dasar sebagai rencana yang menerangkan keseluruhan batasan kegiatan secara umum dan komprehensif yang menjadi pegangan dalam pelaksanaan kegiatan-kegiatan. Kebijakan menyangkut pernyataan umum yang dikeluarkan oleh suatu instansi atau organisasi tertentu mengenai tujuan atau goal yang hendak dicapai melalui proses pelaksanaan kegiatan-kegiatannya. Kebijakan dapat dikatakan sebagai salah satu bentuk dari guide (petunjuk) yang berorientasi pada pembatasan dari pelaksanaan proses. 6.2 Pedoman (Guidline) Secara umum pedoman mencakup pengertian sebagai petunjuk atau pedoman yang disarankan untuk melakukan sesuatu dalam hal keterkaitannya dengan lingkup suatu service (layanan) atau produk tertentu. Jika dihubungkan peranannya dalam pengelolaan teknologi informasi, maka guideline meliputi petunjuk dasar penggunaan layanan, fasilitas, metode pengelolaan, dan penggunaan lain yang terkait dengan sumber daya teknologi informasi. 6.3 Aturan (Rule) Aturan adalah pedoman yang didefinisikan dan harus dilaksanakan oleh pihak-pihak tertentu dalam lingkup suatu layanan atau produk tertentu. Satu sifat yang membedakannya dari Pedoman adalah bahwa Aturan lebih bersifat mengikat terhadap pihak-pihak terkait dimana aturan-aturan tersebut diterapkan. Aturan memberikan ketentuan-ketentuan mengenai kebiasaan / budaya yang telah dijalankan pada bagian organisasi atau instansi tertentu. Sehingga, dalam konteks pengelolaan teknologi informasi, Aturan dapat mencakup secara lokal pada bagian tertentu, tetapi dimungkinkan juga berlaku pada keseluruhan organisasi atau instansi. Hal ini berbeda dari kebijakan yang pada prinsipnya sebaiknya diterapkan secara global. 6.4 Prosedur (Procedure) Prosedur dapat didefinisikan sebagai rencana yang mendefinisikan tata cara pengerjaan suatu kegiatan secara kronologis. Prosedur secara relatif dapat berupa bentuk rinci dari penerapan suatu pedoman atau aturan (terdapat juga kemungkinan penjabaran yang dilakukan adalah berasal dari kebijakan karena mengingat lingkup ketiga hal ini dapat bersifat relatif terhadap organisasi atau instansi terkait). 7. PENUTUP 7.1 Kesimpulan 1. Rumusan tentang rencana pengembangan tata kelola sistem informasi dan teknologi informasi (IT Governance) mengarah pada terbentuknya sistem pengelolaan sumber daya informasi organisasi secara efektif dan efisien. Hal ini dilakukan dengan cara menetapkan Critical Success Factor, Key Goal Indicator, serta Key Performance Indicator berdasarkan control objectives yang dipilih/ditetapkan. Dan juga dengan mengukur tingkat kematangan (maturity level) tata kelola TI organisasi yang nantinya

6 akan digunakan sebagai pembanding dengan organisasi lainnya yang sekelas. 2. Kebijakan, Pedoman dan prosedur dibuat untuk pengelolaan dan pengorganisasian SI/TI Korporat, agar kelanjutan pelaksanaannya bisa dijamin dengan baik. 3. Hasil kajian / benchmark tingkat kematangan (maturity level) proses pengelolaan teknologi informasi perlu dilakukan agar organisasi dapat membandingkan tingkat kematangan pengelolaan TI dengan organisasi lainnya yang sekelas. 2. Daftar Pustaka [1]. Andik Taufik, Pembuatan Pedoman Pengelolaan TI ITB berdasarkan Domain AI dari COBIT, Skripsi S1, Teknik Informatika ITB, 2005 [2]. Craig Symons, Forrester, IT Governance Framework, Best Practices, March 29, 2005 [3]. Isaca.org., IT Governance Implementation Guide: Using COBIT and Val IT, 2 nd Edition, 2007 [4]. ITGI, COBIT 4.1: Framework, Control Objective, Mangement Guideline, Maturity Model, 2007

7