IT GOVERNANCE

 http://budi.staf.upi.edu/



· Pengertian IT Governance

IT Governance merupakan suatu komitmen, kesadaran dan proses pengendalian manajemen organisasi terhadap sumber daya TI/sistem informasi yang dibeli dengan harga mahal tersebut, yang mencakup mulai dari sumber daya komputer (software, brainware, database dan sebagainya) hingga ke Teknologi Informasi dan Jaringan LAN/Internet.

“Governance” merupakan turunan dari kata “government”, yang artinya membuat kebijakan (policies) yang sejalan/selaras dengan keinginan/aspirasi masyarakat atau kontituen (Handler & Lobba, 2005). Sedangkan penggunaan pengertian “governance” terhadap Teknologi Informasi (IT Governance) maksudnya adalah, penerapan kebijakan TI di dalam organisasi agar pemakaian TI (berikut pengadaan dan pelayanannya) diarahkan sesuai dengan tujuan organisasi tersebut.

·         Menurut Para Ahli

1.     Menurut Sambamurthy and Zmud (1999), IT Governance dimaksudkan sebagai pola dari otoritas/kebijakan terhadap aktivitas TI (IT Process). Pola ini diantaranya adalah: membangun kebijakan dan pengelolaan IT Infrastructure, penggunaan TI oleh end-user secara efisien, efektif dan aman, proses IT Project Management yang efektif.

2.     Standar COBIT dari lembaga ISACA di Amerika Serikat mendefinisikan IT Govrnance as a “structure of relationships and processes to direct and control the enterprise in order to achieve the entreprise’s goals by value while balancing risk versus return over IT and its processes”.

3.     Oltsik (2003) mendefinisikan IT Governance sebagai kumpulan kebijakan, proses/aktivitas dan prosedur untuk mendukung pengoperasian TI agar hasilnya sejalan dengan strategi bisnis (strategi organisasi). Ruang lingkup IT Governance di perusahaan skala besar biasanya mencakup hal-hal yang berkaitan dengan Change Management, Problem Management, Release Management, Availability Management dan bahkan Service-Level Management.

·         Dimensi atau Cakupan IT Governance

1.     Pembuatan keputusan, otoritas, dan tanggung awan dalam struktur organisasi

2.     Kepemimpinan

3.     Proses, sebagai siklus manajemen

4.     Manajemen sumber daya

5.     IT dipakai untuk melaksanakan strategi atau tujuan organisasi, atau IT untuk merespon tekanan bisnis

6.     Mekanisme hubungan atau komunikasi

Cakupan IT Governance

·         Tujuan IT Governance

1.     Menyelaraskan IT Resources yang sudah diinvestasikan jutaan dollar tersebut dengan strategi organisasi (agar menjadi enabler).

2.     Untuk mewujudkan IT Governance dalam suatu organisasi, maka suatu organisasi harus membangun struktur yang dinamakan dengan IT Governance Framework

3.     Memahami isu dan peran penting IT dalammemberi kemampuan organisasi untukmempertahankan operasinya danmengimplementasikan strategi yang diperlukanuntuk memperluas aktivitasnya dimasa depan.

·         IT Governance FrameWork

 

Governance FrameWork

Berdasarkan struktur IT Governance, maka semua sistem informasi yang ada di perusahaan (Sistem Informasi Bisnis) dapat diarahkan (govern) agar sejalan dan mendukung strategi organisasi. Dengan demikian, maka keberadaan berbagai bentuk sistem informasi dalam naungan SIM (Sistem Informasi Manajemen/SIM) perusahaan misalnya  dapat memaksimalkan tujuan utama organisasi tersebut, di antaranya meningkatkan kinerja, memenangkan persaingan, mencapai target penjualan dan sebagainya. Demikian pula, perusahaan kemudian dapat mereduksi resiko dari penggunaan TI (IT Risk) dan  pengendalian IT Process (disebut dengan IT Control) menjadi optimal.

·         Langkah – langkah menerapkan IT Governance

1.     Adanya intruksi dari atasan

2.     Menyediakan sumber daya

3.     Mendidik untuk menjalankan best practies

4.     Memasarkan value proposition dan benerfit dari IT Governance

5.     Membuat kerangja kerja dan mengembangkannya

6.     Pemetaan proyek tata kelola IT berdasarkan best practies

7.     Mengukur tingkat kematangan IT governance yang sekarang

·         Kegunaan IT Governance

Kegunaan IT Governance adalah untuk mengatur penggunaan TI adalah sebagai berikut :

1.     Keselarasan TI dengan perusahaan dan realisasi keuntungan-keuntungan yang dijanjikan dari penerapan TI.

2.     Penggunaan TI agar memungkinkan perusahaan mengekploitasi kesempatan yang ada dan   memaksimalkan keuntungan.

3.     Penggunaan sumber daya TI yang bertanggung jawab.

4.     Penanganan manajemen risiko yang terkait TI secara tepat.

·         Kelebihan IT Governance

Dengan adanya IT Govenance (Tata Kelola TI yang baik) yang berjalan di dalam suatu organisasi perusahaan tersebut, maka puluhan IT Process (IT Activities) yang dijalankan dapat berjalan secara sistematis, terkendali dan efektif. Bahkan pada menciptakan efisiensi dengan sendirinya mengurangi biaya operasional dan meningkatkan daya saing. Output dan outcome dari IT Governance yang baik tersebut hanya dapat dicapai jika tata kelola tersebut dikembangkan dengan menggunakan IT Framework berstandar internasional, misalnya dengan mengimplementasikan COBIT, IT-IL Management, COSO, ISO IT Security dan sebagainya

Control Objective For Information and Related Technology (COBIT)

·         ·         Pengertian COBIT

Control Objectives for Information and Related Technology atau COBIT adalah proses yang sedang dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari Information System Audit and Control Association (ISACA) untuk membantu perusahaan dalam mengelola sumber daya teknologi informasi.

COBIT juga merupakan jembatan antara manajemen teknologi informasi dengan para eksekutif bisnis atau dewan direksi. Dikatakan seperti itu karena CoBIT mampu menjelaskan laporan dengan bahasa yang umum sehingga dapat mudah dipahami oleh semua pihak. Salah satu alasan mengapa COBIT dapat merajalela di seluruh dunia karena semakin besarnya perhatian dari corporate governance dan kebutuhan perusahaan dalam menghasilkan sesuatu yang lebih dengan kondisi sumber daya yang sedikit dan ekonomi yang sulit.

·         Tujuan COBIT

Tujuan utama yang diharapkan dari adanya COBIT yaitu agar perusahaan mampu meningkatkan nilai tambah dalam bidang IT dan dapat mengurangi risiko-risiko inheren yang ada didalamnya.

·         Komponen-komponen COBIT

COBIT mempunyai komponen-komponen sebagai berikut:

a.    Executive Summary

b.    Framework

c.    Control Objective

d.    Audit Guidelines

e.    Management Guidelines

f.    Control Practices

·         Definisi Pengendalian Internal menurut COBIT

Untuk pengertian Pengendalian Internal COBIT mengadopsinya dari COSO, yaitu “Kebijakan, prosedur, praktik, struktur organisasi yang dirancang untuk memberikan keyakinan yang wajar bahwa tujuan organisasi dapat dicapai dan hal-hal yang tidak diinginkan dapat dicegah, dideteksi atau diperbaiki”.

Selain itu untuk tujuan pengendalian sendiri COBIT mengadopsinya dari SAC, yaitu:“Suatu pernyataan atas hasil yang diinginkan atau tujuan yang ingin dicapai dengan mengimplementasikan prosedur pengendalian dalam aktivitas IT tertentu”.

Komponen tujuan pengendalian COBIT terdiri dari 4 tujuan pengendalian tingkat tinggi yang tercermin dalam 4 domain, yaitu:

a.    Planning and Organization

b.    Acquisition & Implementation

c.    Delivery & Support

d.    Monitoring

·         Kerangka COBIT

Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:

Kerangka COBIT

1.     Control Objectives : Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & support , dan monitoring .

2.     Audit Guidelines : Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci (detailed control objectives ) untuk membantu para auditor dalam memberikanmanagement assurance dan/atau saran perbaikan.

3.     Management Guidelines : Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut :

Satu dari prinsip dalam COBIT 5 ini adalah pembedaan yang dibuat antara tata kelola (governance) dan pengelolaan (management). Selaras dengan prinsip ini, setiap organisasi diharapkan untuk melaksanakan sejumlah proses tata kelola dan sejumlah proses pengelolaan untuk menyediakan tata kelola dan pengelolaan enterprise IT yang komprehensif. Ketika mempertimbangkan proses untuk tata kelola dan pengelolaan dalam konteks enterprise, perbedaan antara jenis-jenis proses tergantung kepada tujuan dari proses tersebut, antara lain :

Proses tata kelola berhubungan dengan tujuan tata kelola, yaitu value delivery; manajemen resiko dan penyeimbangan sumber daya; serta termasuk praktik dan aktivitas yang dituju sesuai evaluasi pilihan strategis yang menyediakan arahan kepada IT dan memantau outcome (hal ini sesuai dengan konsep standar ISO 38500).

COBIT 5 tidaklah menentukan tetapi dari penjelasan di atas jelas bahwa COBIT 5 mendukung organisasi mengimplementasi proses tata kelola dan pengelolaan pada area yang dicakupi. Dalam teorinya, perusahaan dapat mengorganisasi prosesnya apabila memungkinkan selama tujuan dasar tata kelola dan pengelolaan tercakupi. Perusahaan kecil memiliki proses yang lebih sedikit sedangkan perusahaan yang lebih besar atau rumit memiliki proses yang banyak. Semuanya mencakupi tujuan yang sama. Meskipun begitu, COBIT 5 juga menyertakan sebuah model referensi proses yang mendefinisikan dan menjelaskan secara rinci sejumlah proses tata kelola dan pengelolaan. Model referensi proses merepresentasikan semua proses yang secara normal ditemukan dalam sebuah perusahaan yang berhubungan dengan kegiatan IT dengan demikian menyediakan sebuah model referensi umum yang dapat dimengerti untuk manajer bisnis dan It yang beroperasi dan juga auditor maupun penasehat.

Model referensi proses COBIT 5 membagi proses tata kelola dan pengelolaan perusahaan IT ke dalam dua domain, yaitu domain tata kelola dan domain pengelolaan. Domain tata kelola mengandung lima proses tata kelola yang di dalam setiap prosesnya praktik evaluasi, pengarahan, dan pemantauan didefinisikan. Domain pengelolaan ada empat yang selaras dengan wilayah tanggung jawab perencanaan, pembangunan, pelaksanaan, dan pemantauan.

Dalam COBIT 5, proses-proses juga mencakupi lingkup penuh dari kegiatan bisnis dan IT yang berhubungan dengan tata kelola dan pengelolaaan enterprise IT. Dengan demikian membuat model proses benar-benar enterprise-wide.Model referensi proses COBIT 5 adalah penerus proses model COBIT 4.1 dengan mengintegrasikan proses model Risk IT dan Val IT. Gambar di bawah menggambarkan himpunan lengkap dari proses tata kelola dan pengelolaan dalam COBIT 5.

Capability Maturity Model integrated (CMMI)

·         Definisi CMMI

Capability Maturity Model Integration (CMMI) merupakan suatu model pendekatan dalam penilaian skala kematangan dan kemampuan sebuah organisasi perangkat lunak. CMMI pada awalnya dikenal sebagai Capability Maturity Model (CMM) yang dikembangkan oleh Software Enginnering Institute di Pittsburgh pada tahun 1987. Namun perkembangan selanjutnya CMM menjadi CMMI. CMMI mendukung proses penilaian secara bertingkat. Penilaiannya tersebut berdasarkan kuisioner dan dikembangkan secara khusus untuk perangkat lunak yang juga mendukung peningkatan proses.

·         CMMI vs ISO

Perbedaan CMMI dan ISO terletak pada ketelitiannya. Bila perusahaan kita mendapat sertifikasi ISO, perusahaan harus memiliki Standard Operating Procedure (SOP) yang tertulis. Kemudian harus membuktikan pada badan sertifikasi bahwa SOP tersebut dijalankan dengan baik. Apa saja yang ditulis dalam SOP bebas. ISO tidak mengatur sampai ke tingkat seperti demikian.

Berbeda dengan CMMI, selain perusahaan mempunyai SOP, mempunyai aturan khusus tentang isi SOP. Misalnya, kalau kita melakukan analisa kebutuhan (requirement gathering), ada beberapa aturan yang harus diikuti, misalnya:

Pernyataan kebutuhan user harus dicatat

1.     Pernyataan kebutuhan harus dikonfirmasi ke user

2.     kebutuhan harus disetujui kedua pihak

3.     Kalau ada perubahan, harus dicatat

4.     Antara kebutuhan dan software yang dideliver, harus bisa dilacak bolak-balik

·         Keuntungan CMMI

Beberapa keuntungan yang diperoleh saat perusahaan menerapkan CMMI:

1.     Penilaian studi kualitas (assessing) atas proses kematangan (maturity) terkini.

2.     Meningkatkan kualitas struktur organisasi dan pemrosesan dengan mengikuti pendekatan best-practice.

3.     Digunakan dalam proses uji-kinerja (benchmarking) dengan organisasi lainnya.

4.     Meningkatkan produktivitas dan menekan resiko proyek.

5.     Menekan resiko dalam pengembangan perangkat lunak.

6.     Meningkatkan kepuasan pelanggan.

7.     Mempunyai fitur-fitur yang bersifat institusional, yaitu komitmen, kemampuan untuk melakukan sesuatu, analisis dan pengukuran serta verifikasi implementasi.

8.     Tersedianya “Road Map” untuk peningkatan lebih lanjut.

·         Tahapan dalam Penerapan CMMI

Tahapan dalam Penerapan CMMI

1.     Maturity level 1 – initialized

Pada ML1 ini proses biasanya berbentuk ad hoc. Sukses pada level ini didasarkan pada kerja keras dan kompetensi yang tinggi orang-orang yang ada di dalam organisasi tersebut atau dapat juga dikatakan perusahaan ini belum menjalankan tujuan dan sasaran  yang telah didefinisikan oleh CMMI.

2.     Maturity level 2 – managed

Pada ML2 ini sebuah organisasi telah mencapai seluruh specific dan generic goals pada Level 2. Semua pekerjaan yang berhubungan dengan dengan proses-proses yang terjadi saling menyesuaikan diri agar dapat diambil kebijakan. Setiap orang yang berada pada proses ini dapat mengakses sumber daya yang cukup untuk mengerjakan tugas masing-masing. Setiap orang terlibat aktif pada proses yang membutuhkan. Setiap aktivitas dan hasil pekerjaan berupa memonitor, mengontrol, meninjau, serta mengevaluasi untuk menjaga kekonsistenan pada deskripsi yang telah diberikan.

3.     Maturity level 3 - defined

Pada ML3 ini sebuah organisasi telah mencapai seluruh specific dan generic goals pada Level 2 dan Level 3. Proses dicirikan dengan terjadinya penyesuaian dari kumpulan proses standar sebuah organisasi menurut pedoman-pedoman pada organisasi tersebut, menyokong hasil kerja, mengukur, dan proses menambah informasi lain menjadi milik organisasi.

4.     Maturity level 4 – quantitatively managed

Pada ML4 ini, sebuah organisasi telah mencapai seluruh specific dan generic goals yang ada pada Level 2, 3, dan 4. Proses yang terjadi dapat terkontrol dan ditambah menggunakan ukuran-ukuran dan taksiran kuantitatif. Sasaran kuantitatif untuk kualitas dan kinerja proses ditetapkan dam digunakan sebagai kreteria dalam manajemen proses.

5.     Maturity level 5 – optimizing

Pada ML5 ini suatu organisasi telah mencapai seluruh specific dan generic goals yang ada di Level 2, 3, 4, dan 5. ML5 fokus kepada peningkatan proses secara berkesinambungan melalui inovasi teknologi.

Capability Maturity Model (CMM)

·         Pengertian CMM

Capability Maturity Model disingkat CMM  Merupakan mekanisme kualifikasi sebuah software development house yang dapat memberikan gambaran tentang kemampuan perusahaan tersebut dalam melakukan development software. Dalam arti lain, Capability Maturity Model disingkat CMM adalah suatu model kematangan kemampuan (kapabilitas) proses yang dapat membantu pendefinisian dan pemahaman proses-proses suatu organisasi. Pengembangan model ini dimulai pada tahun 1986 oleh SEI (Software Engineering Institute) Departemen Pertahanan Amerika Serikat di Universitas Carnegie Mellon di Pittsburgh, Amerika Serikat.

CMM awalnya ditujukan sebagai suatu alat untuk secara objektif menilai kemampuan kontraktor pemerintah untuk menangani proyek perangkat lunak yang diberikan. Walaupun berasal dari bidang pengembangan perangkat lunak, model ini dapat juga diterapkan sebagai suatu model umum yang membantu pemahaman kematangan kapabilitas proses organisasi di berbagai bidang. Misalnya rekayasa perangkat lunak, rekayasa sistem, manajemen proyek, manajemen risiko, teknologi informasi, serta manajemen sumber daya manusia.

Secara umum, maturity model biasanya memiliki ciri sebagai berikut:

1.    Proses pengembangan dari suatu organisasi disederhanakan dan dideskripsikan dalam wujud tingkatan kematangan dalam jumlah tertentu (biasanya empat hingga enam tingkatan)

2.    Tingkatan kematangan tersebut dicirikan dengan beberapa persyaratan tertentu yang harus diraih.

3.    Tingkatan-tingkatan yang ada disusun secara sekuensial, mulai dari tingkat inisial sampai pada tingkat akhiran (tingkat terakhir merupakan tingkat kesempurnaan)

4.    Selama pengembangan, sang entitas bergerak maju dari satu tingkatan ke tingkatan berikutnya tanpa boleh melewati salah satunya, melainkan secara bertahap berurutan.

·         Definisi Harafiah

1.     Capability : menjadi kapabilitas yang berarti kemampuan yang bersifat laten. Capability lebih mengarah kepada integritas daripada kapabilitas yang  berarti itu sendiri.

2.     Maturity : matang / dewasa . Matang merupakan hasil proses, sedangkan dewasa merupakan hasil dari pertumbuhan.

Model : suatu penyederhanaan yang representatif terhadao keadaan di dunia nyata

·         Tujuan CMM

Tujuan penggunaan CMM adalah membuat ujian saringan masuk BAGI KONTRAKTOR YANG MENDAFTARKAN DIRI UNTUK MENJADI KONSULTAN.

·         Nilai-nilai yang dilihat dalam pengukuran CMM

1.     Apa yang diukur ( parameter )

2.     Bagaimana cara mengukurnya ( metode )

3.     Bagaimana standar penilaiannya ( skala penilaian )

4.     Bagaimana interpretasinya ( bagi manusia )

·         Kegunaan CMM

1.     Untuk menilai tingkat kematangan sebuah organisasi pengembang perangkat lunak.

2.     Untuk menyaring kontraktor yang akan menjadi pengembang perangkat lunak

3.     Untuk memberikan arah akan peningkatan organisasi bagi top management di dalam sebuah organisasi pengembang perangkat lunak.

4.     Sebagai alat bantu untuk menilai keunggulan kompetitif yang dimiliki sebuah perusahaan dibandingkan perusahaan pesaingnya.

·         Tahapan dalam CMM

Tahapan dalam CMM

1.     Initial Level

Level ini hiasa disebut anarchy atau chaos. Pada pengembangan sistem ini masing – masing developer menggunakan peralatan dan metode sendiri. Berhasil atau tidaknya tergantung dari project teamnya. Project ini seringkali menemukan saat – saat krisis, kadang kelebihan budget dan di belakang rencana. Dokumen sering tersebar dan tidak konsisten dari satu project ke project lainnya. Level initial bercirikan sebagai berikut :

• Tidak adanya manajemen proyek
• Tidak adanya quality assurance
• Tidak adanya mekanisme manajemen perubahan (change management)
• Tidak ada dokumentasi
• Adanya seorang guru/dewa yang tahu segalanya tentang perangkat lunak yang dikembangkan.
• Sangat bergantung pada kemampuan individual

2.     Repeatable level

Proses project management dan prakteknya telah membuat aturan tentang biaya projectnya, schedule, dan funsionalitasnya. Fokusnya adalah pada project management bukan pada pengembangan sistem. Proses pengembangan sistem selalu diikuti, tetapi akan berubah dari project ke project. Sebuah konsep upaya dibuat untuk mengulang kesuksesan project dengan lebih cepat. Level Repeatable bercirikan sebagai berikut :

• Kualitas perangkat lunak mulai bergantung pada proses bukan pada orang
• Ada manajemen proyek sederhana
• Ada quality assurance sederhana
• Ada dokumentasi sederhana
• Ada software configuration managemen sederhana
• Tidak adanya knowledge managemen
• Tidak ada komitment untuk selalu mengikuti SDLC dalam kondisi apapun
• Tidak ada statiskal control untuk estimasi proyek
• Rentan terhadap perubahan struktur organisasi.

3.      Defined level

Standard proses pengembangan sistem telah dibeli dan dikembangkan dan ini telah digabungkan seluruhnya dengan unit sistem informasi dari organisasi. Dari hasil penggunaan proses standard, masing – masing project akan mendapatkan hasil yang konsisten dan dokumentasi dengan kualitas yang baik dan dapat dikirim. Proses akan bersifat stabil, terprediksi, dan dapat diulang. Level Defined bercirikan :

• SDLC sudah dibuat dan dibakukan
• Ada komitmen untuk mengikuti SDLC dalam keadaan apapun
• Kualitas proses dan produk masih bersifat kwalitatif bukan kualitatif (tidak terukur hanya kira-kira saja)

•Tidak menerapkan Activity Based Costing
• Tidak ada mekanisme umpan balik yang baku

4.     Managed level

Tujuan yang terukur untuk kualitas dan produktivitas telah dibentuk. Perhitungan yang rinci dari standard proses pengembangan sistem dan kualitas produk secara rutin akan dikumpulkan dan disimpan dalam database. Terdapat suatu usaha untuk mengembangkan individual project management yang didasari dari data yang telah terkumpul. Level Managed bercirikan :

• Sudah adanya Activity Based Costing dan dan digunakan untuk estimasi untuk proyek berikutnya
• Proses penilaian kualitas perangkat lunak dan proyek bersifat kuantitatif.
• Terjadi pemborosan biaya untuk pengumpulan data karena proses pengumpulan data masih dilakukan secara manual
• Cenderung bias. Ingat efect thorne, manusia ketika diperhatikan maka prilakunya cenderung berubah.
• Tidak adanya mekanisme pencegahan defect
• Ada mekanisme umpan balik

5.     Optimized level

Proses pengembangan sistem yang distandardisasi akan terus dimonitor dan dikembangkan yang didasari dari perhitungan dan analisis data yang dibentuk pada level 4. Ini dapat termasuk perubahan teknologi dan praktek – praktek terbaik yang digunakan untuk menunjukkan aktivitas yang diperlukan pada standard proses pengembangan sistem . Level Optimized bercirikan :

• Pengumpulan data secara automatis
• Adanya mekanisme pencegahan defect
• Adanya mekanisme umpan balik yang sangat baik
• Adanya peningkatan kualitas dari SDM dan peningkatan kualitas proses.