Bab 2 LANDASAN TEORI

Transkripsi

1 Bab 2 LANDASAN TEORI 2.1. Sistem Informasi Sistem Informasi/Teknologi Informasi Komunikasi Sistem informasi dapat didefinisikan sebagai kombinasi yang terkoordinasi dari dari berbagai komponen-komponennya, yaitu manusia, perangkat keras, perangkat lunak, jaringan komunikasi, sumber data, dan kebijakan serta prosedur, yang diorganisasikan untuk mengolah (menyimpan, mengambil, mentransformasi dan menyebarkan) informasi dalam organisasi (O Brien& Marakas, 2010).Batasan pengertian ini sesuai dengan pendapat Laudon & Laudon (2012) bahwa sistem informasi dapat didefinisikan sebagai berikut: satu set komponen-komponen terkait yang mengumpulkan (atau mengambil), memproses, menyimpan, dan mendistribusikan informasi untuk mendukung pengambilan keputusan dan kendali dalam suatu organisasi. Seperti diuraikan di atas, bahwa komponen sistem informasi antara lain terdiri dari: perangkat keras peralatan (hardware), perangkat lunak (software), jaringan (netware), maupun berbagai peralatan infrastruktur bersifat mekanis maupun elektronis yang secara keseluruhan sering disebut dengan istilah TIK. Jadi TIK adalah 8

2 9 komponen sistem informasi yang berwujud hardware, software, netware, dan infrastructures. Dengan demikian dapat disimpulkan bahwa sistem informasi adalah kombinasi antara komponen TIK dan komponen non TIK, berupa: manusia (brainware) dan sumber data (data resources). Secara visual dapat digambarkan seperti Gambar 2.1 berikut ini: Gambar 2.1. Komponen Sistem Informasi Sumber: Introduction to Information System (15th ed.)(o Brien & Marakas, 2010)

3 Manfaat Implementasi Sistem Informasi/TIK Sistem informasi dapat memperbaiki pelaksanaan proses bisnis suatu perusahaan dengan cara mengotomatisasi langkah-langkah yang tadinya dilakukan secara manual (Laudon & Laudon, 2012). Oleh karena itu, saat ini, sistem informasitelah digunakan secara meluas dalam suatu perusahaan, pada setiap tingkatan manajemen, mulai dari manajemen tingkat bawah, hingga manajemen tingkat atas.sistem informasi digunakan mulai dari untuk mendukung kegiatan operasional harian, hingga untuk mendukung pengambilan keputusan yang bersifat strategis. Masing-masing tingkatan manajemen melakukan jenis pekerjaan yang berbeda.oleh karena itu, peranan sistem informasi untuk masing-masing tingkatan manajemen, menjadi berbeda.o Brien & Marakas (2010) telah mengidentifikasi peranan sistem informasi pada suatu perusahaan, pada Gambar 2.2.berikut ini: Gambar 2.2. Peranan Sistem Informasi pada Perusahaan

4 11 Sumber: Introduction to Information System (15th ed.) (O Brien & Marakas, 2010) Tampak pada Gambar 2.2.tersebut bahwa tingkatan manajerial dapat dikelompokkan dalam: a. Level Manajemen Puncak Penggunaan sistem informasi adalah untuk mendukung keperluan pengambilan keputusan yang bersifat strategis, misalnya untuk menentukan arah dan tujuan perusahaan di masa yang mendatang. b. Level Manajemen Menengah Penggunaan sistem informasi adalah untuk mendukung keperluan pengambilan keputusan bisnis perusahaan. c. Level Manajemen Operasional Penggunaan sistem informasi adalah untuk mendukung keperluan pengambilan keputusan dan kebutuhan informasi untuk operasional harian perusahaan. Dari penjelasan di atas, maka dapat disimpulkan bahwa masing-masing tingkatan manajerial memiliki kebutuhan informasi berbeda.oleh karena itu, masingmasing tingkatan manajerial membutuhkan jenis sistem informasi yang berbeda, sesuai dengan kebutuhannya masing-masing.

5 Implementasi SI/TIK dengan Alih Daya Investasi sistem informasi/tik yang kian hari kian bertambah porsinya membuat perusahaan mencari cara untuk melakukan efisiensi. Selain itu, alokasi sumber daya bagi TIK, untuk perusahaan yang core business-nya bukan di TIK, tentu saja harus dilakukan dengan cermat, agar dapat memenuhi persyaratan Tata Kelola perusahaan yang baik.jangan sampai alokasi sumber daya di bidang TIK pada perusahaan tersebut melebihi alokasi sumber daya di bidang yang menjadi core business perusahaan tersebut. Salah satu cara yang banyak digunakan oleh perusahaan untuk mensiasati hal tersebut adalah dengan menyelenggarakan Alih Daya Proses Bisnis. Pada Alih Daya Proses Bisnis, pelaksanaan Proses Bisnis sebagian atau seluruhnya diselenggarakan oleh penyedia jasa di luar perusahaan. Chatterjee (2010) menyatakan bahwa Alih Daya Proses Bisnis dapat dijalankan pada proses-proses bisnis berikut ini: a. Product Process b. Service Process c. Customer Centric Process d. Quality Control Process yang dapat digambarkan sesuai dengan Gambar 2.3.

6 13 Gambar 2.3. Proses Bisnis Perusahaan Sumber: Management Information System (Chatterjee, 2010) 2.2. Tata Kelola Sistem Informasi/TIK Pengertian Tata Kelola Sistem Informasi/TIK IT Governance Institute (2013) mendefinisikan Tata Kelola TIK sebagai tanggung jawab dari dewan direksi dan manajemen eksekutif, yang merupakan bagian integral dari tata kelola perusahaan dan terdiri dari: kepemimpinan dan struktur organisasi dan proses yang memastikan bahwa TIK perusahaan mendukung dan memperluas strategi dan objektif perusahaan. Sementara Senft & Gallegos (2009) menyatakan bahwa Tata Kelola TIK menyediakan struktur yang diperlukan untuk mencapai penyelarasan antara strategi TIK dan strategi bisnis.sedangkan menurut Calder & Watkins (2008) Tata Kelola sistem informasi/tik adalah kerangka kerja

7 14 untuk leadership (kepemimpinan), struktur organisasi dan proses bisnis; standar dan kepatuhan terhadap standar-standar kepemimpinan, struktur organisasi dan proses bisnis; yang menjamin bahwa sistem informasi perusahaan mendukung dan memungkinkan pencapaian strategi dan tujuan perusahaan tersebut. Jadi yang dimaksud tata kelola sistem informasi/tik yang baik adalah investasi/implementasi dan pengelolaan sistem informasi/tik yang tepat dan mendukung pencapaian tujuan bisnis perusahaan. Menurut Calder & Watkins (2008), terdapat 5 faktor utama pendorong adopsi strategi Tata Kelola sistem informasi di perusahaan. Faktor-faktor tersebut adalah: a. Regulasi, seperti: adopsi/implementasi the Combined Code dan the Turnbull Guidance (bagi perusahaan di Inggris); Sarbanes Oxley (bagi perusahaan terbuka di Amerika Serikat); BIS dan Basel 2 untuk bank dan institusi finansial. b. Semakin banyaknya nilai modal intelektual yang berada pada keadaan berisiko. c. Kebutuhan untuk menyelaraskan projek teknologi dan tujuan strategis organisasi dan untuk memastikan bahwa projek-projek tersebut menghasilkan sesuai dengan rencana awal. d. Semakin meningkatnya ancaman terhadap keamanan TIK yang secara potensial berdampak negatif pada reputasi, penghasilan dan keuntungan perusahaan.

8 15 e. Semakin rumitnya regulasi terkait dengan informasi Investasi Sistem Informasi/TIK Bagi banyak perusahaan, TIK merupakan hal yang penting. Porsi investasi TIK, dari tahun ke tahun, menjadi semakin besar dalam total investasi sebuah perusahaan. Laudon & Laudon (2012) menyajikan grafik yang menunjukkan hal tersebut. Adapun berikut ini adalah grafik yang dimaksud (Gambar 2.4): Gambar 2.4. Porsi Investasi TIK terhadap Total Investasi Sumber: Management Information Systems: Managing the Digital Firm (12th ed.)(laudon & Laudon, 2012) Kombinasi semakin besarnya porsi investasi TIK terhadap total investasi perusahaan, semakin mendorong adopsi/implementasi TIK pada perusahaan Kerangka Kerja Evaluasi Tata Kelola SI/TIK Kerangka Kerja Tata Kelola TIK yang banyak digunakansebagai acuan oleh perusahaan adalah antara lain:

9 16 a. Control Objective for Information and Related Technology (COBIT) b. IT Maxims c. Berbagai kerangka kerja lainnya, seperti: CMMI, ITIL, TOGAF Untuk keperluan evaluasi, perusahaan melakukan mapping antara kondisi yang saat ini berlaku pada perusahaan tersebut dengan requirements/panduan yang ada pada kerangka kerja-kerangka kerja tersebut. Dengan melakukan mapping, perusahaan akan mengetahui apakah kondisi saat ini sudah comply (memenuhi) kerangka-kerangka kerja tersebut. Lebih lanjut, beberapa kerangka kerja, seperti: CMMI, memberikan skala penilaian, sehingga pemenuhan kerangka kerja tersebut dapat dinilai tingkatnya. Dengan melakukan evaluasi dan penilaian tersebut, perusahaan dapat menentukan langkah-langkah yang harus ditempuh untuk memenuhi kerangka kerja tersebut, jika belum terpenuhi, atau langkah-langkah yang harus ditempuh untuk mempertahankan pemenuhan kerangka kerja tersebut Manajemen Risiko Perusahaan Pengertian Manajemen Risiko Perusahaan Menurut Senft & Gallegos (2009) terdapat hubungan yang erat antara Manajemen Risiko Perusahaan dan bisnis yang dikelola dengan baik. Senft & Gallegos (2009) mencontohkan bahwa kejadian-kejadian, seperti: product recall dan rogue traders, jika tidak dikelola dengan baik dapat menghancurkan perusahaan.

10 17 Secara historis, manajemen risiko sering kali dilakukan dalam silos, sebagai contoh: insurance risk, technology risk, financial risk, environmental risk. Senft & Gallegos (2009) memandang bahwa diperlukan suatu Enterprise Risk Management yang mengelola risiko perusahaan secara komprehensif Risiko Alih Daya Proses Bisnis Menurut Chatterjee (2010) dalam Alih Daya Proses Bisnis terdapat pengalihan kepemilikan Proses Bisnis. Hal memiliki pengertian cara Proses Bisnis dilakukan menjadi tidak didefinisikan oleh pihak pengguna jasa, melainkan oleh pihak pemberi jasa. Hal ini membuka peluang timbulnya risiko-risiko terkait, seperti: risiko terkait keamanan dan kelangsungan bisnis setelah dilanda bencana BCP/DRP Dalam penyelenggaraan operasional suatu perusahaan, perusahaan harus mempertimbangkan risiko-risiko yang ada.risiko-risiko tersebut harus dikelola dengan baik, agar risiko tersebut tidak mengancam keberlangsungan bisnis perusahaan tersebut.tentu saja jika sebagian atau seluruh proses bisnis perusahaan dialihdayakan, tidak berarti perusahaan tidak harus mempersiapkan diri dalam menghadapi/memitigasi risiko yang mungkin timbul. Perusahaan tetap harus mempersiapkan mitigasi risiko-risiko tersebut. Salah satu risiko yang mungkin timbul adalah bencana.untuk memitigasi risiko tersebut dibutuhkan BCP/DRP, sehingga keberlangsungan bisnis dapat

11 18 terjaga.bcp/drp merupakan bagian dari Business Continuity Management (BCM).Goh (2008) menyatakan bahwa awalnya rencana mitigasi risiko bencana memiliki fokus pada TIK, sejalan dengan perkembangan kebutuhan, maka mitigasi risiko bencana mengalami pergeseran fokus, sehingga fokusnya menjadi enterprise wide, tidak lagi hanya TIK-nya saja. Berikut ini, Gambar 2.5.adalah ilustrasi pergeseran fokus tersebut. Gambar 2.5. Pergeseran Fokus Rencana Mitigasi Risiko Bencana Sumber: Managing Your Business Continuity Planning Project (2nd ed.)(goh, 2008) Lebih lanjut, Goh (2008) menyatakan bahwa DRP memiliki fokus pada bagian TIK, sementara BCP berfokus pada bisnis. Dengan kata lain, DRP merupakan bagian dari BCP.

12 ISO Business Continuity Management Standar ISO merupakan standar di bidang Business Continuity Management System (BCMS).Pada survei yang dilakukan oleh Business Continuity Institute (BCI, 2012), 85% dari 613 responden yang berasal dari 60 negara, menyatakan bahwa standar ISO dapat menyediakan common language dalam menjalankan proses BCMS, antara pelanggan, suplier dan untuk keperluan internal. Standar ISO dikembangkan dari BS (Sharp, 2012).Oleh karena itu, tidak aneh jika antara kedua standar tersebut terdapat beberapa persamaan. Berikut ini adalah mapping antara standar BS dengan standar ISO 22301: Tabel 2.1. Perbandingan Antara BS dan ISO Sumber: Moving from BS to ISO 22301: The New International Standard for Business Continuity Management System (Sharp, 2012)

13 20

14 21

15 22 Namun tentu saja, sebagai suatu upaya perbaikan dan penyempurnaan, ISO memperkenalkan konsep-konsep baru. Berikut ini adalah konsep-konsep baru tersebut: Tabel 2.2. Konsep Baru pada ISO Sumber: Moving from BS to ISO 22301: The New International Standard for Business Continuity Management System (Sharp, 2012) Standar ISO mengidentifikasi dasar-dasar sistem manajemen kelangsungan bisnis, membangun proses, prinsip dan terminologi manajemen kontinuitas bisnis. Standar ini antara lain, bertujuan untuk dapat memberikan dasar acuan bagi suatu perusahaan atau organisasi, agar dapat memahami, mengembangkan dan menerapkan manajemen kelangsungan bisnis pada suatu organisasi, sehingga dapat memberikan keyakinan kepada seluruh stakeholder perusahaan atau organisasi bahwa perusahaan atau organisasi tersebut dapat terus beroperasi walaupun sedang mengalami keadaan bencana.

16 23 Berikut ini adalah komponen-komponen yang menyusunbcms: a. Policy (Kebijakan) b. People (Manusia) dengan tanggung jawab terdefinisi. c. Proses Pengelolaan yang berkaitan dengan: 1. Policy 2. Planning 3. Implementation and Operation 4. Performance Assessment 5. Management Review 6. Improvement d. Dokumentasi yang menyediakan bukti yang dapat diaudit e. Proses pengelolaan kelangsungan bisnis lain yang relevan untuk perusahaan tersebut. Standar ISO juga mengikuti pola PDCA (Plan-Do-Check-Act) yang merupakan standar pola ISO.Secara lebih spesifik, pola PDCA pada ISO digambarkan pada Gambar 2.6.berikut ini:

17 24 Gambar 2.6. Model PDCA pada ISO Sumber: ISO 22301: Societal security -- Business continuity management systems --- Requirements (ISO, 2012) Berikut ini adalah penjelasan terkait model PDCA pada ISO 22301: a. Plan(Establish) Menetapkan kebijakan, tujuan, sasaran, kontrol, proses dan prosedur Keberlangsungan bisnis yang relevan untuk meningkatkan kelangsungan bisnis agar dapat memberikan hasil yang selaras dengan kebijakan organisasi secara keseluruhan dan tujuannya b. Do(Implement and Operate) Menerapkan dan mengoperasikan kebijakan, kontrol, proses dan prosedur kelangsungan bisnis.

18 25 c. Check(Monitor and Review) Memantau dan menilai kinerja terhadap kebijakan dan tujuan kelangsungan bisnis, melaporkan hasilnya kepada manajemen untuk ditinjau, dan menentukan serta mengotorisasi tindakan untuk remediasi dan perbaikan. d. Act(Maintain and Improve) Memelihara dan meningkatkan BCMS dengan mengambil tindakan korektif, berdasarkan hasil tinjauan manajemen dan menilai kembali lingkup BCMS serta kebijakan dan tujuan kelangsungan bisnis. Standar ISO terdiri dari klausul-klausul berikut: a. Clause 1: Scope Klausul ini mendefinisikan ruang lingkup dari standar ISO Ruang lingkup dari standar ISO adalah untuk mengimplementasikan dan memperbaiki sebuah Business Continuity Management System (BCMS).Penulis standar ini ingin memastikan bahwa standar ini dapat diberlakukan pada seluruh organisasi, dengan tidak memandang letak geografi, ukuran ataupun tujuan organisasi. b. Clause 2: Normative References Klausul ini seharusnya mendefinisikan daftar dokumen yang menjadi referensi agar standar ini dapat dipahami dengan baik.pada standar ISO tidak memiliki normative references.klausul ini ada untuk memenuhi standar dokumen ISO.

19 26 c. Clause 3: Terms and Definitions Klausul ini mendefinisikan seluruh istilah yang digunakan pada standar ISO Pada ISO terdapat definisi untuk 55 istilah. d. Clause 4: Context of the organization Klausul ini berisi tentang persyaratan-persyaratan yang dibutuhkan untuk membangun konteks BCMS pada suatu organisasi, terkait dengan kebutuhan, persyaratan dan ruang lingkup BCMS tersebut. Untuk memenuhi ISO 22301, suatu organisasi harus mendokumentasikan risk apetite yang dimilikinya. ISO mengharuskan suatu organisasi mendefinisikan apa saja yang termasuk di dalam BCMS dan apa saja yang tidak termasuk pada lingkup BCMS. Selain itu, ruang lingkup BCMS harus dikomunikasikan dengan baik pada seluruh pihak terkait, baik pihak internal, ataupun pihak eksternal. e. Clause 5: Leadership Klausul ini berisi tentang ringkasan persyaratan-persyaratan yang terutama ditujukan bagi top management.top management harus memastikan bahwa BCMS sejalan dengan arahan strategis organisasi dan terintegrasi pada proses bisnis perusahaan, serta mengkomunikasikan pentingnya BCMS yang efektif dan pemenuhan persyaratan-persyaratan BCMS. Klausul ini juga mengharuskan top management menunjuk suatu pihak yang bertanggung jawab terhadap pembentukan, implementasi dan pemantauan BCMS organisasi.

20 27 f. Clause 6: Planning Klausul ini berisi tentang kebutuhan untuk membentuk/membuat objektifobjektif stategis dan prinsip pemandu yang akan digunakan pada BCMS. Klausul ini mengharuskan organisasi untuk mengatasi ancaman, jika seandainya BCMS tidak dapat/berhasil dibuat, diimplementasikan dan dipantau dengan baik, termasuk di dalamnya hambatan-hambatan yang mungkin ditemui, baik dari internal/eksternal, yang mungkin akan mengakibatkan ketidakefektifan BCMS. Klausul ini mewajibkan sebuah organisasi untuk mendefinisikan secara jelas objektif bisnisnya dan memiliki rencana untuk mencapainya.objektif-objektif ini harus terintegrasi dengan kebijakan BCM dan terukur. g. Clause 7: Support Klausul ini menjelaskan supports (dukungan-dukungan) yang dibutuhkan untuk membuat, mengimplementasikan dan memantau BCMS yang efektif. Hal ini meliputi sumber daya yang dibutuhkan, kompetensi pihak-pihak terkait, kesadaran dan keterlibatan pihak-pihak terkait, dan persyaratan manajemen dokumen terkait. h. Clause 8: Operation Secara umum klausul ini menjelaskan proses pembuatan BCMS, mulai dari Business Impact Analysis, pembuatan prosedur keberlangsungan bisnis yang juga meliputi protokol komunikasi internal/eksternal, dan proses pengujian BCMS tersebut.

21 28 i. Clause 9: Performance evaluation Klausul ini menjelaskan bahwa proses pemantauan, pengukuran dan evaluasi BCMS merupakan input untuk keperluan tinjauan manajemen. Selain itu, hasil tinjauan manajemen harus dikomunikasikan kepada pihak-pihak yang terkait. j. Clause 10: Improvement Klausul ini menjelaskan bahwa tindakan-tindakan korektif dan preventif yang sudah dijalankan sebelumnya dan sudah diimplementasikan dan di-review pada klausul-klausul sebelumnya, harus dipastikan diimplementasikan pada BCMS. dalam kaitan dengan model PDCA di atas, maka: a. Plan, terdiri dari Clause 4, Clause 5, Clause 6, dan Clause 7 b. Do, terdiri dari Clause 8 c. Check, terdiri dari Clause 9 d. Act, terdiri dari Clause 10