RISK MANAGEMENT TATA KELOLA TEKNOLOGI INFORMASI NIM : 13410100079 Nama : Andhika Maheva Wicaksono Porgram Studi : Sistem Informasi Fakultas : Teknologi dan Informatika INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA 2015
A. Tata Kelola Teknologi Informasi Tata Kelola Teknologi Informasi atau Information Technology Governance adalah suatu struktur hubungan dan proses yang mengarahkan serta mengendalikan organisasi untuk mencapai tujuannya dengan menambahkan beberapa nilai ketika menyeimbangkan risiko dibandingkan dengan Teknologi Informasi (TI) dan prosesnya. Berdasarkan IT Governance Institute (TIGI) TKTI merupakan suatu tanggung jawab dari pimpinan organisasi serta eksekutif manajemen. Tata Kelola Teknologi Informasi (TKTI) membantu memastikan organisasi memiliki keselarasan antara Teknologi Informasi dan tujuan dari perusahaan. Perusahaan diatur dengan menggunakan praktek praktek yang baik atau terbaik yang berlaku secara umum yang merupakan jaminan yang disediakan oleh kontrol tertentu. Tata Kelola pada perusahaan yang efektif dan efisien berfokus pada keahlian individu dan kelompok serta pengalaman pada bidang tertentu dimana mereka dapat paling efektif. Selain itu, teknologi informasi yang dahulu dianggap hanya sebagai enabler strategi organisasi, sekarang dianggap sebagai bagian integral dari strategi perusahaan dan eksekutif perusahaan harus menyetujui bahwa keselarasan strategis antara teknologi informasi dan tujuan perusahaan merupakan faktor penentu keberhasilan perusahaan dalam mencapai tujuan yang telah ditetapkan. B. Kerangka Kerja Tata Kelola TI Dalam penerapan TKTI, perusahaan dapat menggunakan Kerangka Kerja atau Framework yang dapat mempermudah dalam melakukan pengelolaan TI pada perusahaan. Kerangka kerja tata kelola teknologi informasi memiliki peranan serta fungsi pada masing masing tujuan organisasi. Pada dasarnya peranan dan fungsi utama dari tata kelola teknologi informasi meliputi dua hal pokok, yaitu : pengaturan (govern) dan pengelolaan (manage). Pada pengaturan (govern) meliputi hal hal apa saja yang mendasari tata kelola tersebut yang ditentukan oleh pendefinisian strategi dan kontrol perusahaan. Framework yang masuk dalam cakupan tata kelola ini adalah COBIT. Sedangkan bagaimana tata kelola dilaksanakan merupakan cakupan pengelolaan (manage) yang ditentukan oleh rencana taktis dan eksekutif. 1
C. Tata Kelola TI dan Tata Kelola Perusahaan Tata kelola perusahaan berfungsi mengarahkan dan mengendalikan entitas entitas pada suatu perusahaan. Berdasarkan pada penjelasan yang telah diuraikan diatas bahwa TKTI merupakan tanggung jawab dari dewan direksi dan manajemen eksekutif, oleh sebab itu tata kelola teknologi informasi harus menjadi bagian yang tidak terpisahkan dari tata kelola perusahaan. D. COBIT Framework Control Objective for Information and related Technology (COBIT) adalah panduan standar dalam praktik manajemen teknologi informasi. COBIT dirancang sebagai alat untuk membantu perusahaan dalam mengelola risiko, manfaat dan evaluasi yang berhubungan dengan penerapan IT pada bisnis perusahaan. Standar COBIT dikeluarkan dari IT Governance Institute yang merupakan bagian dari ISACA. COBIT digambarkan dengan model proses yang membagi teknologi informasi menjadi 4 bagian dan 32 proses serta merangkum 210 detailed control objective sesuai bidang tanggung jawab. E. Kerangka Kerja COBIT Agar dapat memahami cara kerja COBIT, perlu diketahui bahwa COBIT memiliki karakteristik utama. Adapaun karakteristik utama dari kerangka kerja COBIT adalah fokus pada bisnis, orientas pada proses, berbagai kontrol serta pengendalian oleh pengukuran. Secara keseluruhan, kerangka kerja COBIT dapat dilihat pada gambar berikut : 2
Framework Cobit 4.1 Versi Bahasa Indonesia Pada COBIT memiliki maturity level (Tingkat Kematangan). Model kematangan untuk pengelolaan dan pengendalian pada proses penerapan teknologi informasi didasarkan pada metode evaluasi organisasi sehingga dapat mengevaluasi sendiri dari level tidak ada (0) hingga optimis (5). Model kematangan ini dimaksudkan guna mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. 3
F. Tata Kelola IT dan Manajemen Risiko Pada dasarnya area tata kelola dapat dibagi menjadi tiga bagian yaitu : Enterprise Governance, Corporate Governance, dan IT Governance. - Enterprise Governance dapat didefinisikan sebagai responsibilitas dan praktek dari eksekutif manajemen dengan tujuan menyajikan arah tujuan organisasi, memastikan tujuan tercapai dan risiko telah ditangani dengan benar serta memverifikasi bahwa sumber daya yang digunakan adalah sumber daya yang tepat dan efisien. (ITGI 2001) - Corporate Governance merupakan etika perusahaan atau kebiasaan perusahaan dari manajemen tingkat atas atau bagian organisasi lainnya yang mengatur dan mengatur dan memastikan bahwa tujuan tercapai serta memonitor risiko yang ada dan bagaimana penanganannya. - IT Governance merupakan kesadaran dari direksi dan eksekutif manajamen dalam memastikan bahwa penggunaan IT selaras dengan tujuan organisasi serta strategi dalam mencapai tujuan organisasi tersebut. (ITGI 2001). Dalam prakteknya tata kelola IT mendukung bisnis dan memberikan nilai tambah melalui penerapan IT. Dalam rangka mencapai tujuan tata kelola IT tersebut terdapat lima prinsip yang harus ada (ITGI 2001) : 1. IT Strategic alignment 2. Value delivery 3. Risk management 4. Resource management 5. Performance measurement G. Manajemen Risiko Manajemen risiko merupakan proses mengidentifikasi kerentanan dan ancaman dari kerangka kerja organisasi sebagai struktur prosedur dalam meminimalisir dampak dari penggunaan sumber daya IT. Risiko pada tingkat organisasi tidak bisa dihilangkan melainkan akan tetap ada sepanjang waktu. Manajemen organisasi bertanggung jawab dengan meminimalkan ke tingkat yang dapat diterima sesuai dengan ketentuang yang 4
ada. Manajemen risiko harus menjadi proses yang berkesinambungan yang dimulai dengan menilai tingkat paparan organisasi dan mengidentifikasi risiko insiden utama. Setelah risiko tersebut dapat diidentifikasi, risiko harus diminimalkan dengan menggunakan prosedur kontrol dan akhirnya risiko residual harus disesuaikan dengan tingkat yang dapat diterima. Dalam praktek tata kelola untuk manajemen risiko TI terdapat beberapa proses antara lain : a. Menganalisis dan menilai risiko TI b. Memonitor efisiensi pengendalian internal c. Menerapkan kontrol yang diperlukan untuk meminimalkan risiko TI d. Memasukkan risiko ke dalam prosedur untuk memastikan transparansi dari risiko yang signifikan pada perusahaan e. Menanambakn bahwa pendekatan manajemen risiko proaktif dapat menciptakan keunggulan kompetitif f. Mengupayakan bahwa manajemen risiko tertanam dalam operasi organisasi g. Memastikan bahwa manajemen telah menempatkan proses, teknologi, dan jaminan di tempat untuk keamanan informasi meliputi : transaksi bisnis yang dapat dipercaya, layanan IT dapat digunakan serta tepat menahan serangan dan pulih dari kegagalan, informasi kritis didapat dari orang orang yang seharusnya tidak memiliki akses pada informasi tersebut. H. Proses Manajemen Risiko Pada dasarnya dalam melakukan manajemen resiko sekurang kurangnya memiliki beberapa proses meiliputi : a. Identifikasi risiko b. Pengukuran dan analisis risiko c. Pemilihan metode pengelolaan risiko d. Implementasi metode pengelolaan risiko e. Evaluasi terhadap implementasi metode pengelolaan risiko f. Pelaporan manajemen risiko 5
Daftar Pustaka Diarina, Yulia. 2011. Yulia Diarina: Implementasi COBIT Dalam Pengelolaan Moodle di E-Learning. 27 12. Diakses 3 3, 2016. http://blogs.itb.ac.id/djadja/2011/12/27/yulia-diarina-implementasi-cobit-dalam-pengelolaanmoodle-di-e-learning/. GHEORGHE, Mirela. t.thn. Risk Management in IT Governance Framework. 545-552. ITGI. 2001. Board Briefing on IT Governance. http://www.itgi.org. Modissa, Shelvi. t.thn. Penerapan Tata Kelola Teknologi Informasi dengan Menggunakan Cobit Framework 4.1 (Studi Kasus Pada The Arista Hotel Palembang). JTI 1-9. Utomo, Agus Prasetyo, dan Novita Mariana. 2011. Analisis Tata Kelola Teknologi Informasi ( It Governance ) pada Bidang Akademik dengan Cobit Frame Work Studi Kasus pada Universitas Stikubank Semarang. JTI 139-149. Wahono, Buang Budi. 2015. Perancangan Tata Kelola Teknologi Informasi Untuk Peningkatan Layanan Sistem Informasi Kesehatan (Studi Kasus Dinas Kesehatan Kabupaten Jepara). SIMETRIS 101-110. 6