An Overview of IT Governance

advertisement
Pertemuan 1 :
IT Governance ( Tata Kelola IT)
M. Arief Soeleman
Latar Belakang
• Investasi Teknologi Informasi yang sampai menghabiskan
milyaran rupiah pada perusahaan skala menengah dan besar
tersebut, sepertinya sudah tidak ekonomis lagi jika hanya
ditujukan untuk meningkatkan efisiensi, efektivitas dan
kecepatan kerja organisasi.
• Perkembangan TI yang semakin canggih dan serba bisa
tersebut, mulai diarahkan menjadi enabler terhadap
peningkatan kinerja suatu organisasi.
• Yang kemudian memunculkan kesadaran, terutama di dunia
industri, bahwa tanggung jawab pengelolaan TI tidak bisa
sepenuhnya diserahkan ke unit/bagian/divisi yang hanya
khusus menangani TI secara teknikal (IT Function)
sebagaimana pendekatan manajemen konvensional, melainkan
juga harus menjadi tanggung jawab berbagai pihak manajemen
dalam suatu organisasi. Hal inilah yang kemudian melahirkan
konsep dan paradigm baru dalam mengelola Teknologi
Informasi yang disebut dengan IT Governance (Tata Kelola
Teknologi Informasi).
Cont..
• Banyak proyek TI strategic yang penting justru gagal dalam
pelaksanaan, yang disebabkan proyek TI hanya ditangani
oleh teknisi TI tanpa keterlibatan eksekutif dan visi
depertemen TI tidak selaras visi korporasi.
• IT Governance merupakan suatu komitmen, kesadaran dan
proses pengendalian manajemen organisasi terhadap
sumber daya TI/sistem informasi yang dibeli dengan harga
mahal tersebut, yang mencakup mulai dari sumber daya
komputer (software, brainware, database dan sebagainya)
hingga ke Teknologi Informasi dan Jaringan LAN/Internet.
• Lalu, apa sebenarnya yang dimaksud dengan Tata Kelola
(Governance) itu? Kenapa akhir-akhir ini semakin popular ?
Cont..
• “Governance”
merupakan
turunan
dari
kata
“government”, yang artinya membuat kebijakan
(policies)
yang
sejalan/selaras
dengan
keinginan/aspirasi masyarakat atau kontituen (Handler
& Lobba, 2005).
• Sedangkan penggunaan pengertian “governance”
terhadap Teknologi Informasi (IT Governance)
maksudnya adalah, penerapan kebijakan TI di dalam
organisasi agar pemakaian TI (berikut pengadaan dan
pelayanannya) diarahkan sesuai dengan tujuan
organisasi tersebut
Cont..
• Menurut Sambamurthy and Zmud (1999), IT Governance
dimaksudkan sebagai pola dari otoritas/kebijakan terhadap
aktivitas TI (IT Process). Pola ini diantaranya adalah:
membangun kebijakan dan pengelolaan IT Infrastructure,
penggunaan TI oleh end-user secara efisien, efektif dan
aman, serta proses IT Project Management yang efektif.
• Standar COBIT dari lembaga ISACA di Amerika Serikat
mendefinisikan IT Govrnance as a “structure of relationships
and processes to direct and control the enterprise in order to
achieve the entreprise’s goals by value while balancing risk
versus return over IT and its processes”.
Cont..
• Istilah tatakelola (governance) juga sering dikaburkan
dengan istilah pemerintahan (government), pdahal
keduanya mempunyai arti yang berbeda.
• Pemerintahan dibangun untuk menjalankan (governance).
• Istilah pemerintahan lebih berkonotasi ke organisasi politik.
• Organisasi bisnis lebih banyak menggunakan istilah korporat
disbanding dengan istilah pemerintahan
• Tatakelola korporat merujuk pada proses dan strktur untuk
merencanakan arah pengelolaan organisasi sehingga dapat
mencapai tujuan efektif.
Cont..
• Menurut Oltsik (2003) mendefinisikan IT Governance
sebagai kumpulan kebijakan, proses/aktivitas dan
prosedur untuk mendukung pengoperasian TI agar
hasilnya sejalan dengan strategi bisnis (strategi
organisasi).
• Ruang lingkup IT Governance di perusahaan skala
besar biasanya mencakup hal-hal yang berkaitan
dengan Change Management, Problem Management,
Release Management, Availability Management dan
bahkan Service-Level Management
Cont..
• Lebih lanjut Oltsik mengatakan bahwa IT Governance
yang baik harus berkualitas, well-defined dan bersifat
“repeatable processes” yang terukur (metric).
• IT Governance yang dikembangkan dalam suatu
organisasi modern berfungsi pula mendefinisikan
(outline) kebijakan-kebijakan TI, menetapkan prosedur
penting IT Process, dokumentasi aktivitas TI, termasuk
membangun IT Plan yang efektif berdasarkan
perubahan lingkungan perusahaan dan perkembangan
TI.
Kenapa Tatakelola ..penting?
• Adanya perubahan peran TI, dari peran efisiensi ke peran
strategic yang harus ditangani di level korporat
• Banyak proyek TI strategic yang penting namun gagal hanya
karena ditangani teknisi
• Keputusan TI di dewan direksi sering bersifat ad hoc alias
tidak terencana baik
• TI merupakan pendorong utama proses transformasi bisnis
yang memberi imbas penting bagi organisasi dalam
pencapaian visi, misi dan tujuan strategic
• Kesuksesan pelaksanaan TI harus dapat terukur melalui
metric tatakelola TI.
Untuk mewujudkan IT Governance dalam suatu organisasi, maka suatu organisasi harus membangun struktur yang dinamakan
dengan IT Governance Framework, yang kira-kira polanya sebagai berikut:
What is IT Governance?
working definition
Vision,
goals/priorities, measures; value
prop & service portfolio;
resource approaches &
commitments;
change management
plans
Decision rights
framework &
mechanisms
IT governance is the formal process of defining the
strategy of the IT organization and overseeing its
execution to achieve the goals of the enterprise.
Aligned/synchronized with the
enterprise strategy, including other
key asset strategies
Translation into
aligned, tactical, operational
plans; closed-loop monitoring & control;
accountability;
regulatory compliance
IT Governance Event - UCISA
11
Cont..
• Berdasarkan struktur IT Governance maka semua
sistem informasi yang ada di perusahaan (Sistem
Informasi Bisnis) dapat diarahkan (govern) agar sejalan
dan mendukung strategi organisasi. Dengan demikian,
maka keberadaan berbagai bentuk sistem informasi
dalam
naungan
SIM
(Sistem
Informasi
Manajemen/SIM) perusahaan.
• Demikian pula, perusahaan kemudian dapat mereduksi
resiko dari penggunaan TI (IT Risk) dan pengendalian
IT Process (disebut dengan IT Control) menjadi
optimal.
Governance Model
 Pada saat ini, Teknologi Informasi (TI) merupakan bagian yang
tidak bisa terpisahkan dari suatu perusahaan. Ilmu dan teknologi
yang bergerak maju dan berkembang ternyata tidak sedikit
menimbulkan masalah, terutama dalam menghadapi kompleksitas
dan intensitas tantangan yang semakin berat.
 Pimpinan dan para pembuat kebijakan perusahaan dituntut
berpikir kreatif untuk menemukan berbagai terobosan strategi yang
mampu menciptakan sinergi, yang memberi kontribusi optimal
dalam pencapaian tujuan perusahaan
 Namun, kenyataannya sering kita jumpai bahwa pemanfaatan TI
itu justru menghabiskan sumber daya, sementara hasil yang
diharapkan tidak tercapai
IT Governance Event - UCISA
Cont...
 Untuk itu, perlu dilakukan manajemen informasi efektif dan
pemanfaatan teknologi secara efisien. Hal ini sudah sering
dikemukakan dan dibahas. Dari pembahasan itu, makin
disadari pentingnya “IT Governance”.
 IT Governance adalah sebuah struktur dari hubungan relasi
dan proses untuk mengarahkan dan mengendalikan suatu
perusahaan dalam mencapai tujuan dengan memberikan nilai
tambah ketika menyeimbangkan resiko dengan menyesuaikan
TI dan proses bisnis perusahaan
 IT Governance muncul sebagai jembatan antara scope bisnis
dengan TI, yang disebabkan terjadinya sebuah gap antara
teknologi yang diterapkan tidak sesuai dengan yang
diharapkan.
IT Governance bukanlah suatu manajemen tersendiri, tetapi
pada dasarnya juga merupakan bagian dari manajemen
perusahaan
Cont..
 Manfaat IT Governance itu sendiri pada dasarnya sangat sulit
untuk
dikuantifikasikan
karena
ukuran
keberhasilan
penanganan TI itu pada dasarnya bersifat intangible.
 Penelitian IT Governance Institute (ITGI) menunjukkan bahwa
TI telah bergeser dari isu teknologi menjadi isu manajemen dan
pengelolaan.
 Penerapan TI di perusahaan akan dapat dilakukan dengan
baik apabila ditunjang dengan suatu pengelolaan TI (IT
Governance) dari mulai perencanaan sampai implementasinya
IT Governance yang tidak efektif akan menjadi awal terjadinya
pengalaman buruk yang dihadapi perusahaan seperti :
 Kerugian bisnis, berkurangnya reputasi dan melemahnya
posisi kompetisi;
 Tenggang waktu yang terlampaui, biaya lebih tinggi dari yang
diperkirakan, dan kualitas lebih rendah dari yang telah
diantisipasi;
 Efisiensi dan proses inti perusahaan terpengaruh secara
negatif oleh rendahnya kualitas penggunaan TI;
 Kegagalan inisiatif TI untuk melahirkan inovasi atau
memberikan keuntungan yang dijanjikan;
 Penggunaan standar IT Governance mempunyai
•
1. Enterprise activities, as defined by the Malcolm Baldrige National
Quality Award:4
• Business processes are those nonproduct/nonservice
processes that are considered the most important to business
growth and success by senior leaders.
• Examples include research and development, technology
acquisition, information and knowledge management, supply
chain management, supplier and customer partnering,
outsourcing, merger and acquisition, global expansion,
project management and marketing.
• Support processes are those that support daily operations
and product and service delivery but are not usually designed
in detail with the products and services.
• Examples are financial and accounting, facilities management,
legal services, human resource services, public relations and
other administrative services.
•
Core processes are the enterprise’s key products and service design
.
2. Resources
Intangible resources are useful information/knowledge bases.
• These are the most critical resources for extended enterprise
governance because the governance structure heavily relies
on a knowledge portal sharing among the partners.
• Intellectual resources on one enterprise owner is never
enough; the senior management should orchestrate the
dynamic combination of complementary skills and assets of
the partners to generate and then realize innovative ideas
and product improvements.
• Tangible resources are financial, human, facilities, and
similar resources. Normally, complementary skills (intangible
resources) are combined with these assets (tangible
resources) to produce world-class products and services.
3. Objectives, goals, and expectations: values
• Values are the driver for objectives, goals, and expectations.
• Sharing the same goals among partners is a critical success
factor of the governance of the extended enterprise. Goals/
• objectives are set through strategic planning and translated
into activities that will ensure reaching the goal through the
effective use of operational planning
Keuntungan
Pertama, The Wheel Exists, penggunaan standar yang sudah
ada dan mature akan sangat efisien. Perusahaan tidak perlu
mengembangkan sendiri framework dengan mengandalkan
pengalamannya sendiri yang tentunya sangat terbatas.
Kedua, Structured, standar-standar yang baik menyediakan
suatu framework yang sangat terstruktur, yang dapat dengan
mudah dipahami dan diikuti oleh manajemen. Lebih lanjut lagi,
framework yang terstruktur dengan baik akan memberikan
setiap orang pandangan yang relatif sama.
 Ketiga, Best Practices, standar-standar tersebut telah
dikembangkan dalam jangka waktu yang relatif lama dan
melibatkan ratusan orang dan organisasi di seluruh dunia.
Pengalaman
yang
direfleksikan
dalam
model-model
pengelolaan yang ada tidak dapat dibandingkan dengan suatu
usaha dari satu perusahaan tertentu
Cont..
Keempat, Knowledge Sharing, dengan mengikuti standar yang
umum, manajemen akan dapat berbagi ide dan pengalaman
antar organisasi melalui user groups, website, majalah, buku,
dan media informasi lainnya.
 Kelima, Auditable, tanpa standar baku, akan sangat sulit bagi
auditor, terutama auditor dari pihak ketiga untuk melakukan
kontrol secara efektif. Dengan adanya standar, maka baik
manajemen maupun auditor mempunyai dasar yang sama
dalam melakukan pengelolaan
Apa bedanya IT Compliance
dengan IT Governance?
• IT Compliance adalah pelaksanaan dan pengelolaan teknologi
informasi yang sesuai dengan standar yang diterapkan dalam
lingkungan atau institusi tertentu.
• Jika Anda berasumsi bahwa IT Compliance menyangkut aspek
teknologi saja. IT Policy Compliance (kepatuhan akan kebijakan TI)
boleh dikatakan sebagai satu ekosistem lengkap yang mencakup:
 Tujuan






strategis organisasi.
Pelatihan dan kesadaran Pengguna komputer.
Kebijakan di tingkat atas.
Prosedur dan standar.
Pengaturan konfigurasi.
Kontrol terhadap teknologi.
Pemantauan yang berkelanjutan
Secara keseluruhan, kepatuhan adalah tentang manusia, proses, dan
teknologi. Banyak perusahaan yang memberikan perhatian terlalu
banyak kepada teknologi dan akhirnya gagal dalam audit karena
kurangnya perhatian terhadap faktor manusia dan proses.
Perbedaan Mengatur dan Menatakelola TI
Kriteria
Mengatur
Menatakelola
Scope
Lebih sempit karena
bagian tatakeloal
Lebih luas
Mekanisme
Departemen TI
Korporasi
Keputusan TI
Keputusan spesifik
Korporasi
Fokus
Proses internal
Inter dan eksternal
Horison
Sekarang dan jangka
pajang
Jangka panjang
Objek keputusan
Kep yg dibuat
Siapa dan bagaimana
membuat keputusan
Proses Implemen
Dapat dialihkan
Insouring
Personil
Manajer TI (CIO)
Dewan direksi
Beberapa contoh standar pemerintah dan industri
yang mempengaruhi kebijakan kepatuhan TI misalnya:
 Control Objectives for Information and Related IT (COBIT).
 National Institute of Standards and Technology (NIST)
standards.
 International Standards Organization (ISO) 27001.
 Information Technology Infrastructure Library (ITIL).
 Payment Card Industry Data Security Standard (PCI DSS).
 NERC Critical Infrastructure Protection (CIP) standards.
 Federal Financial Institution Examination Council (FFIEC)
Informatio
Dengan analogi diatas, maka IT Governance posisinya sama
dengan QA (kebijakan, prosedur, defect prevention) sedangkan IT
Compliance identik dengan peranan QC (produk dihasilkan).
Beberapa standar model :
Ada berbagai standar model IT Governance yang banyak
digunakan saat ini, antara lain :
 ITIL (The IT Infrastructure Library),
 ISO/IEC 17799 (The International Organization for
Standardization/The International Electro technical
Commission),
 COSO (Committee of Sponsoring Organization of the
Treadway Commission), and
 COBIT (Control Objectives for Information and related
Technology).
.. Keseimbangan CIO’s diantara prioritas.
Maximize return:
Increase agility:
• Improve business results;
• Enable the business organization
and operations to adapt to
changing business needs
grow revenue and earnings,
cash flow, reduced
cost-of-operation
Improve performance:
Reduce risk:
• Ensure security and continuity
of internal business operations,
while minimizing exposure to
external risk factor
IT Governance Event - UCISA
• Improve business
operations performance
end-to-end
across the enterprise
• Increase customer and
employee satisfaction
30
Strategic Alignment Model (SAM)
Henderson dan Venkrataman
Needs, Issues & Challenges
Planning
Alignment
Kurangnya strategy bisnis selaras
Capital, Capacity, Priorities
Membuat keputusan
perusahaan baru / outsourcing
Flexibility
Mendeploy kompleksitas dalam
beberapa project
Tidak ada panduan permintaan
Manajemen layanan perubahan
Tidak dapat agregat kebutuhan
dan mendistribusi ROI
Kompleksitas deployment karena
kurangnya standar dan dokumen
No means of prioritization of
business need
Demand
Kurang transparan pada sumber daya IT
Supply
IT and
Business
Resources
Strategic
Tactical
Operations
Tidak ada cara pelaporan
Menurunkan Biaya IT sd 30%
Ineffective project Management
Mengurangi seluruh bea bisnis
Tidak ada audit
Target tidak tercapai karena kurangnya kontrol
Tidak ada cara yg mengatur kontrak
outsourcing
Quality
Control
Procedure,
Audits, Metrics
IT Governance Event - UCISA
Efficiency
33
Budget available to support innovation
Discretionary vs. Nondiscretionary
36% of the average CIO’s budget
can be devoted to providing
new capabilities.
Q: What percent of your total IT budget is devoted to: Non-discretionary
items infrastructure, support and maintenance or Discretionary items
new capabilities?
Source: CIO Magazine “The State of the CIO” online survey, January 2012
Note: percents do not sum to 100 due to range format question structure.
IT Governance Event - UCISA
34
How many IT projects have positive
business outcomes?…
Half or less
More than half
Worldwide
EMEA
43%
49%
51%
57%
...still not enough!
IT Governance Event - UCISA
35
Driving Innovation
In 3 years
Today
28%
23%
45%
Application
55% innovation
5%
30%
10%
Infrastructure
innovation
15%
Application
maintenance
72%
45%
42%
30%
Infrastructure
maintenance
By transforming the % of IT spending consumed by ongoing operations …
IT Governance Event - UCISA
36
Tangible Benefits
Cost avoidance
•
Stopped $8 mill in projects unlikely to deliver expected business value
•
Saved $3.7 mill by avoiding investment in non-viable projects
•
IT spend not aligned to IT strategy reduced by 25%
•
IT project scope change orders reduced by 57%
Cost reduction
•
“At risk” projects reduced by over 30%
•
Audit costs reduced by £1.2 mill per year
•
IT labour costs reduced by $320k
•
IT budget on target
Efficiency gains
•
Reduced project funding process from 6 weeks to 1 week
•
Schedule tracking and updating lead time reduced by 67%
•
Reporting efficiency increased by 75%
•
IT labour efficiency increased by 10%
•
Project management bandwidth increased by 12%
•
Demand queue reduced by 67%
IT Governance Event - UCISA
37
Who are the Decision Makers?
Non-Cooperative
Centralized
Federal
De-centralised
Cooperative
Business Decision
IT Decision
Business and IT
Collaboration
Business Exec.
IT Exec.
Business and IT Exec.
Business Exec./Mgt.
IT Exec./Mgt.
Business and IT
Exec./Mgt.
Business Mgt.
IT Management
Business and IT Mgt.
Anarchy
IT Governance Event - UCISA
38
Core Competencies for Effective IT Governance
•
•
Align operational and
strategic IT investments to
business strategies &
objectives.
Balance the demand for IT services
with available resources to meet
immediate and strategic goals.
•
Supply /
Demand
Management
IT Strategy
Management
•
Establish
policies,
standards,
models and
processes for
managing IT
as an
enterprise
asset
Establish effective, collaborative
relationships with business
stakeholders and suppliers.
Relationship
Management
•
IT Operating
Model
Enterprise
Architecture
Managemen
t
Financial
Managemen
t
Portfolio
Management
IT Governance Event - UCISA
•
Understand the
drivers of IT
costs to allocate
appropriate
costs to the
consumers of IT
services.
Lifecycle management of
infrastructure, applications
and services
39
The IT Governance Capability Model
IT Governance Capability Model
IT Governance Capability Domains
Role of IT
None
Utility
Dependent
Agile
IT Governance
Governance
Capability Levels
Capability
Levels
Level
1: Initial
1:
Initial
Level
2: Repeatable
2:
Repeatable
Level
3: Defined
3:
Defined
Level
4: Managed
4:
Managed
Level
5: Optimized
5:
Optimized
Strategy
ITITStrategy
Management
Management
AdAdHoc
HocororITIT
Centric
Centric
Deliver
Deliver
toto
Budget
Budget
Supply
Supply
Constrained
Constrained
Enterprise
Enterprise
Demand
DemandDriven
Driven
Balanced
Balanced& &
Aligned
Aligned
Adaptive
Adaptive
Enterprise
Enterprise
Portfolio
Portfolio
Management
Management
AdAd
Hoc
Hoc
Review
Review
ofof
Portfolio
Portfolio
Synergies
Synergies
ITITCost
Cost
Minimization
Minimization
Emerging
Emerging
ROI
ROI
Based
BasedFunding
Funding
Business
Business
Unit
Unit
Aligned
Aligned
Enterprise
EnterpriseITIT
Portfolio
Portfolio
Management
Management
Enterprise
Enterprise
Architecture
Architecture
Management
Management
Initial
Enterprise
Enterprise
Ad
Adhoc
hoc//Ineffective
Ineffective Initial
Program-based
Ad hoc Technical Architecture
Architecture
Enterprise
Enterprise
Architecture
Architecture
Management
Program
Program
Architecture
Financial
Financial
Management
Management
Supply / Demand
Management
Management
ArchitectureArchitectureArchitecture
Compliant
Compliant
Driven Design
Design
Expense
Expense
Driven,
Driven,
Budget
BudgetFocused
Focused
ITITCost
Cost
Minimization
Minimization
ITITCost
CostTransfer
Transfer
Technology
Technology
Based
Based
Supply
Supply
Constrained
Constrained
Value
ValueBased
Based
Business
Relationship
Relationship
Management
Management
Technology
Technology
Centric
Centric
ITITOperating
Operating
Model
Model
Silo
Silo
Technology-Based
Technology-based Service
ServiceCentric
Centric
Services
Services
ITIT
Process-Based
Process-Based
Business
Business Strategy
Strategy Integrated Enterprise
Business Strategy Architecture
Agile Enterprise
&
Aligned
Linked
Architecture
Business
Business
Planning
Planning
Architecture
Enterprise
Enterprise
Cost
Cost
Management
Management
Optimized
Optimized
Business
BusinessValue
Value
Impact
Impact
Demand
DemandDriven
Driven
Balanced
Balanced
&&
Aligned
AlignedMulti
MultiSourcing
Sourcing
Business
BusinessCentric
Centric Customer
Customer
Centric
Centric
Business
Business
Process
Process Internal
Internal
Service
Service
Based
Based
Provider
Provider
IT Governance Event - UCISA
Shared
SharedServices
Services
40
40
IT Governance Models
- the 5 Characteristics
Corporate Governance
IT Governance Framework
Processes
Technology
People
Value
Val IT
Cobit
ITIL
ISO
PPM Methods
…
BTO portfolio
Business Change
Org. Alignment & Competencies
Benefits Assurance
There are many models.
But they share 5
characteristics:
• Underpinned by processes
that must be implemented
(e.g. Incident management)
• Supported by technology
• Define business change
issues to be addressed
• Define organisational
realignment to be achieved
• Include some way of
measuring the value to be
achieved (e.g. balanced
scorecard)
IT Governance Event - UCISA
41
41
How to Implement Governance
Execute
IT Governance
Assessment
•Execute assessment to identify gaps
•Define new role of IT in organization
•Define evolution roadmap to address the gaps
Setup
IT Governance
Framework
•Define roles and responsibilities
•Setup communication path to support IT-business alignment
•Define management structures for decision making, reporting and
escalation
Design
IT Governance
Processes
•Define policies
•Define processes
•Define KPIs and reporting requirements
Implement
Supporting Tools
•Implement tool to support the execution of the solution
•Implement tools for data collection and management reporting
Continuous
Improvement Plan
11 September 2008
(Control
Lifecycle)
3 April 2016
•Identify indicators to monitor strategy execution
•Define steering committee to manage relationships within IT and between
business & IT
IT Governance Event - UCISA
42
•Review IT strategy periodically and evolve governance environment
42
Critical success factors for ITG
• Clarity of Purpose
• Senior Management Commitment
• Management of Business Change
• Focus, execute and enforce
• Measure achievable targets and expectations
• Don’t over-engineer IT Governance
• Evolution not revolution
IT Governance Event - UCISA
43
IT IL- (The IT Infrastructure Library)
ITIL dikembangkan oleh The Office of Government Commerce
(OGC), yaitu suatu badan di bawah pemerintah Inggris, yang
bekerja sama dengan The IT Service Management Forum
(ITSMF), suatu organisasi independen mengenai manajemen
pelayanan TI dan British Standard Institute (BSI), suatu badan
penetapan standar pemerintah Inggris. ITIL merupakan suatu
framework pengelolaan layanan TI (IT Service Management –
ITSM)
IT Infrastructure Library (ITIL) adalah serangkaian
dokumen yang digunakan untuk membantu
implementasi dari sebuah kerangka kerja untuk
pengelolaan layanan teknologi informasi (ITSM, IT
Service Management).
Kerangka kerja ini mendefinisikan bagaimana
pengelolaan layanan yang terintegrasi, berbasiskan
proses, dan praktik-praktik terbaik yang diterapkan di
dalam organisasi
Penjelasan framework ITIL
7 set yang menjadi fokus dalam ITIL adalah sebagai berikut :
Pertama, dukungan layanan; menggambarkan komponenkomponen yang berkaitan dengan penyediaan stabilitas dan
fleksibilitas untuk layanan TI. Topik ini berhubungan dengan
identifikasi dan merekam konfigurasi TI seperti barang, kejadian,
masalah, dan perubahan. Topik ini melingkupi meja layanan,
pengelolaan kejadian, pengelolaan masalah, pengelolaan
perubahan, pengelolaan rilis, dan pengelolaan konfigurasi.
Kedua, penghantaran layanan; mendeskripsikan proses yang
dibutuhkan untuk menghantarkan layanan TI yang berkualitas
dan efektif secara biaya, yang melingkupi pengelolaan
ketersediaan, pengelolaan kapasitas, pengelolaan
keberlangsungan layanan TI, pengelolaan tingkat layanan, dan
pengelolaan keuangan untuk layanan TI.
Cont..
Ketiga, pengelolaan keamanan; melingkupi keamanan dari
penyedia layanan dan mengidentifikasi bagaimana pengelolaan
keamanan berhubungan dengan petugas keamanan TI.
Keempat, perspektif bisnis; melingkupi isu-isu yang berkaitan
dengan TI yang harus dihadapi oleh para manajer bisnis.
Kelima, pengelolaan infrastruktur ICT; melingkupi pengelolaan
layanan jaringan, pengelolaan operasi, pengelolaan pemroses
lokal, instalasi komputer dan penerimaan, dan pengelolaan
system.
Cont..
Keenam, pengelolaan aplikasi; melingkupi dukungan siklus
hidup PL, pengujian dari layanan TI dan perubahan bisnis
dengan penekanan pada kebutuhan yang jelas, definisi dan
implementasi dari solusi untuk memenuhi kebutuhan bisnis
pengguna.
Ketujuh, perencanaan untuk mengimplementasikan
pengelolaan layanan; melingkupi cara bagaimana memulai
ITIL dalam organisasi dan membantu organisasi dalam
mengidentifikasi kekuatan dan kelemahannya.
IT Service Management (IT SM) memfokuskan diri pada 3 tujuan
utama, yaitu
(1) Menyelaraskan layanan TI dengan kebutuhan sekarang dan
akan datang dari bisnis dan pelanggannya;
(2) Memperbaiki kualitas layanan-layanan TI; dan
(3) Mengurangi biaya jangka panjang dari pengelolaan layananlayanan tersebut.
Standar ITIL berfokus kepada pelayanan customer dan sama
sekali tidak menyertakan proses penyelarasan strategi
perusahaan terhadap strategi yang dikembangkan.
ISO/IEC 17799
ISO/IEC 17799 dikembangkan oleh The International
Organization for Standardization (ISO) dan The International
Electrotechnical Commission (IEC), dengan titel ”Information
Technology - Code of Practice for Information Security
ISO/IEC 1799 bertujuan memperkuat 3 elemen dasar
keamanan informasi, yaitu
(1) Confidentiality, memastikan bahwa informasi hanya
dapat diakses oleh yang berhak;
(2) Integrity, menjaga akurasi dan selesainya informasi
dan metode pemrosesan; serta
(3) Availability, memastikan bahwa user yang terotorisasi
mendapatkan akses kepada informasi dan aset yang
terhubung dengannya ketika memerlukannya
ISO/IEC 17799 terdiri dari 10 domain,
yaitu (1) Security policy, memberikan panduan dan masukan
pengelolaan dalam meningkatkan keamanan informasi;
(2) Organizational security, memfasilitasi pengelolaan keamanan
informasi dalam organisasi;
(3) Asset classification and control, melakukan inventarisasi aset dan
melindungi aset tersebut dengan efektif;
(4) Personnel security, meminimalisasi resiko human error,
pencurian, pemalsuan atau penggunaan peralatan yang tidak
selayaknya;
(5) Physical and environmental security, menghindarkan violation,
deterioration atau disruption dari data yang dimiliki;
Cont..
(6) Communications and operations management, memastikan
penggunaan yang baik dan selayaknya dari alat-alat pemroses
informasi;
(7) Access control, mengontrol akses informasi;
(8) Systems development and maintenance, memastikan bahwa
keamanan telah terintegrasi dalam sistem informasi yang ada;
(9) Business continuity management, meminimalkan dampak
dari terhentinya proses bisnis dan melindungi proses-proses
perusahaan yang mendasar dari kegagalan dan kerusakan yang
besar; serta
(10) Compliance, menghindarkan terjadinya tindakan
pelanggaran atas hukum, kesepakatan atau kontrak, dan
kebutuhan keamanan.
COSO – Committee of Sponsoring
Organization of the Treadway Commission
COSO merupakan kependekan dari Committee of Sponsoring
Organization of the Treadway Commission, sebuah organisasi di
Amerika yang berdedikasi dalam meningkatkan kualitas pelaporan
finansial mencakup etika bisnis, kontrol internal dan corporate
governance. Komite ini didirikan pada tahun 1985 untuk mempelajari
faktor-faktor yang menunjukkan ketidaksesuaian dalam laporan
finansial
Awal tahun 90-an, Pricewaterhouse Couper bersama komite ini
melakukan extensive study mengenai kontrol internal, yang
menghasilkan COSO Framework yang digunakan untuk mengevaluasi
efektifitas kontrol internal suatu perusahaan. Sejak itu, komunitas
finansial global, termasuk badan-badan regulator seperti public
accounting dan internal audit professions, telah mengadopsi COSO
Keuntungan COSO
Keuntungan implementasi COSO framework akan didapat oleh
(1)CEO/CFO perusahaan yang menerapkan SEC dan mereka yang
memerlukan standar Sarbanes-Oxley test section 302 dan 404;
(2)CEO/CFO perusahaan yang menjadi bagian SEC dan mungkin
memerlukan layanan kantor pusat untuk beberapa tes;
(3)Manajer kunci (biasanya dalan keuangan) dan auditor internal
yang bekerja untuk organisasi di atasnya dan memerlukan bantuan
informasi dari CEO/CFO, agar mereka dapat menerapkan standar
Sarbanes-Oxley; dan
(4)Manajer senior yang memerlukan kepastian organisasi, apakah
telah memiliki sistem kontrol internal untuk menyediakan
kemampuan memasarkan dan meningkatkan harga saham
Kerangka Kerja COSO
Kerangka kerja COSO terdiri atas 3 dimensi.
Pertama, komponen kontrol COSO. COSO mengidentifikasi 5
komponen kontrol yang diintegrasikan dan dijalankan dalam semua
unit bisnis, dan akan membantu mencapai sasaran kontrol internal,
yakni monitoring, information and communications, control activities,
risk assessment, dan control environment.
Kedua, sasaran kontrol internal (a) operations, (b) Financial dan
Financial Reporting
Ketiga, unit/aktifitas terhadap organisasi. Dimensi ini
engidentifikasikan unit/aktifitas pada organisasi yang menghubungkan
kontrol internal.
COBIT (Control Objectives for Information and related
Technology)
COBIT Framework dikembangkan oleh IT Governance Institute, sebuah
organisasi yang melakukan studi tentang model pengelolaan TI yang
berbasis di Amerika Serikat. COBIT berorientasi pada bisnis dan didesign dan dikerjakan tidak hanya oleh user dan auditor, tetapi juga
sebuah panduan kemprehensif bagi pihak manajemen maupun pemilik
bisnis proses tersebut
COBIT memberikan sebuah Maturity process untuk mengendalikan
proses TI sehingga pihak manajemen dapat memetakan di mana posisi
perusahaan tersebut, keadaan perusahaan sesuai tidaknya dengan class
industry ataupun terhadap standar internasional
Key goal indicator dan key performance indicator menjadi landasan
tolak ukur bagi mengukur keberhasilan TI dalam mencapai tujuan dan
kesesuaianya dengan kebijakan organisas
Framework
COBIT Framework terdiri atas 4 domain utama, yakni
(1) Plan and organize. Domain ini menitikberatkan pada proses
perencanaan dan penyelarasan strategi TI dengan strategi
perusahaan;
(2) Acquire and implement. Domain ini menitikberatkan pada
proses pemilihan, pengadaan, dan penerapan teknologi
informasi yang digunakan;
(3) Deliver and support. Domain ini menitikberatkan pada proses
pelayanan TI dan dukungan teknisnya;
(4) Monitor and evaluate. Domain ini menitikberatkan pada
proses pengawasan dan mengevaluasi pengelolaan TI pada
organisasi.
Maturity model
COBIT mempunyai model kematangan (maturity model) untuk
mengontrol proses-proses TI, dengan menggunakan metode penilaian
(scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang
dimilikinya dari skala non-existent sampai dengan optimized (dari 0
sampai 5). Maturity model ini akan memetakan
(1) Current status dari organisasi, untuk melihat posisi organisasi saat
ini;
(2) Current status dari kebanyakan industri saat ini, sebagai
perbandingan;
(3) Current status dari standar internasional, sebagai perbandingan
tambahan; dan
(4) Strategi organisasi dalam rangka perbaikan, level yang ingin dicapai
oleh organisasi.
Selain itu, COBIT juga mempunyai ukuran-ukuran lainnya sebagai
berikut.
Pertama, Critical Success Factors (CSF), yaitu mendefinisian halhal atau kegiatan penting yang dapat digunakan manajemen untuk
dapat mengontrol proses-proses TI di organisasinya.
Kedua, Key Goal Indicators (KGI), yaitu mendefinisikan ukuranukuran yang akan memberikan gambaran kepada manajemen apakah
proses-proses TI yang ada telah memenuhi kebutuhan proses bisnis
yang ada.
KGI biasanya berbentuk kriteria informasi
(1) Ketersediaan informasi yang diperlukan dalam mendukung
kebutuhan bisnis;
(2) Tidak adanya resiko integritas dan kerahasiaan data;
(3) Efisiensi biaya dari proses dan operasi
(4) Konfirmasi reliabilitas, efektifitas, dan compliance.
Ketiga, Key Performance Indicators (KPI) yaitu mendefinisikan
ukuran-ukuran untuk menentukan kinerja proses-proses TI
dilakukan untuk mewujudkan tujuan yang telah ditentukan. KPI
biasanya berupa indikator-indikator kapabilitas, pelaksanaan, dan
kemampuan sumber daya TI.
Any Questions?
Download