Penatakelolaan TIK (Teknologi Informasi dan Komunikasi) dapat kita pahami sebagai proses stratejik yang menentukan bagaimana TIK dikelola. IT Governance merupakan bagian dari Corporate Governance dengan demikian dapat pula dikatakan sebagai implementasi GCG (Good Corporate Governance) dalam pengelolaan TIK.
Gambaran implementasi spesifiknya dapat diwakili oleh 5 Prinsip dan 7 Faktor (enabler) yang dikembangkan COBIT:
5 PRINSIP PENATAKELOLAAN TIK:
1. Meeting Stakeholder’s Needs (Memenuhi Kebutuhan Stakeholders).
2. Covering The Enterprise End-to-End (Mencakup seluruh bagian korporasi).
3. Applying a Single Integrated Framework (Penerapan kerangka yunggal yang terpadu).
4. Enabling a Holistic Approach (Memungkinkan penerapan pendekatan secara holistik).
5. Separating Governance from Management (Pemisahan penetakelolaan dari pengelola).
Kelima prinsip di atas menunjukkan persyaratan Good IT Governance sebagai implementasi spesifik GCG dalam TIK. Agar kelima prinsip tersebut dapat diterapkan, diperlukan pengaturan 7 faktor penerapan (enabler) berikut:
7 FAKTOR PENERAPAN (ENABLER)
1. Prinsip-prinsip, kebijakan dan kerangka.
2. Proses
3. Struktur organisasi
4. Budaya, etika dan prilaku
5. Informasi
6. Infrastruktur dan Aplikasi Jasa
7. Manusia, keahlian dan kompetensi
Ketujuh faktor di atas menunjukkan kewajiban organ utama untuk melaksanakan pengembangan kebijakan, pengambilan keputusan dam pemantauan penerapannya.
Pemisahan antara governance (penatakeolaan) dengan management (pengelolaan), tampak dalam gambaran proses masing-masing sebagai berikut:
PROSES PENATAKELOLAAN
Proses penatakelolaannya sendiri digambarkan secara sederhana sebagai “Evaluate, Direct and Monitor” (mengevaluasi, mengarahkan dan memantau) dengan tujuan sebagai berikut
1. Memastikan Kerangka Penatakelolaan TIK, Pengaturan (setting) dan Pemeliharaannya (ensure governance framework, setting and maintenance).
2. Memastikan manfaat TIK (ensure benefit delivery).
3. Memastikan optimalisasi risiko (ensure risk optimisation).
4. Memastikan optimalisasi sumberdaya (ensure resource optimisation).
5. Memastikan tyransparansi terhadap stakeholder (ensure stakeholder transparency).
Proses pengelolaan TIK dikelompokkan sebagai:
1. Align. Plan and Organize (Menyesuaikan dengan atau penjabaran tata kelola TIK, merencanakan dan mengorganisasi)
2. Build, Acquire and Implement (Membangun, mengadakan dan menerapkan)
3. Deliver, Service and Support (Memberikan jasa dan dukungan)
4. Monitor, Evaluate and Assess (Memantau, mengevaluasi dan menilai)
Rincian dan penjelasan lebih lanjut dapat dilihat pada Bab V mengenai Proses Pengelolaan TIK.
PENGELOLAAN TIK
COBIT mengelompokkan proses pengelolaan TIK (IT Management Process) sebagai berikut:
1. Align. Plan and Organize (Menyesuaikan dengan atau penjabaran tata kelola TIK, merencanakan dan mengorganisasi)
2. Build, Acquire and Implement (Membangun, mengadakan dan menerapkan)
3. Deliver, Service and Support (Memberikan jasa, jasa dan dukungan)
4. Monitor, Evaluate and Assess (Memantau, mengevaluasi dan menilai)
ALIGN, PLAN AND ORGANIZE
1. Mengelola Kerangka Pengelolaan TIK (manage the IT management framework).
2. Mengelola Strategi (manage strategy)
3. Mengelola Arsitektur TIK (manage enterprise architecture)
4. Mengelola Inovasi (manage innovation)
5. Mengelola Portofolio (manage portfolio)
6. Mengelola Anggaran dan Biaya (manage budget andcost)
7. Mengelola SDM (manage human resources)
8. Mengelola Hubungan (manage relationships)
9. Mengelola Kesepakatan jasa (manage service agreements)
10. Mengelola Pemasok (manage suppliers)
11. Mengelola Mutu(manage quality)
12. Mengelola Risiko (manage risks)
13. Mengelola Keamanan (manage security)
BUILD, ACQUIRE AND IMPLEMENT
1. Mengelola Program dan Proyek (manage programmes and projects)
2. Mengelola Rumusan Kebutuhan (manage requirement definitions)
3. Mengelola identifikasi dan pengembangan solusi (manage solutions identification and build)
4. Mengelola Ketersediaan dan Kapasitas (manage availability and capacity)
5. Mengelola Peluang Perubahan Organisasi (manage organisational change enabledment)
6. Mengelola Perubahan (manage changes)
7. Mengelola Penerimaan dan Transisi Perubahan dan Penerimaannya (manage change acceptance and transitioning).
8. Mengelola Pengetahuan (manage knowledges)
9. Mengelola Harta (manage assets)
10. Mengelola Konfigurasi (manage configuration)
DELIVER, SERVICE AND SUPPORT
1. Mengelola Operasi (manage operation)
2. Mengelola Permintaan Jasa dan Insiden (manage service request and incidents)
3. Mengelola Permasalahan (manage problems)
4. Mengelola Keberlanjutan (manage continuity)
5. Mengelola Jasa Pengamanan (manage security service)
6. Mengelola Pengendalia Proses Bisnis (manage business process controls)
MONITOR, EVALUATE AND ASSESS
1. Memantau, mengevaluasi dan menilai kinerja dan ketaatan, kesesuaian maupun kesejalanannya. [performance and conformance]
2. Memantau, mengevaluasi dan menilai sistem pengendalian internal
3. Memantau, mengevaluasi dan menilai ketaatan terhadap persyaratan eksternal
HUBUNGAN PENATAKELOLAAN DAN PENGELOLAAN TIK
Tujuan penatakelolaan yang sering disebut adalah pemenuhan kebutuhan stakeholder atas optimalisasi nilai. Realisasinya bergantung pada keberhasilan optimalisasi penciptaan nilai (value creation).
Jika dikaitkan dengan TIK maka kita dapat menemukan tiga tujuan yang perlu diperhatikan:
1. Realisasi manfaat.
2. Optimalisasi risiko.
3. Optimalisasi sumberdaya.
Tujuan-tujuan tersebut perlu dijabarkan secara berjenjang hingga ke unit dan bagian proses terkecil. Jenjangnya dapat digambarkan sebagai:
• Tujuan utama/stratejik organisasi (enterprise goals)
• Tujuan pengelolaan TIK (IT-related goals)
• Penjabaran tujuan dalam tujuh faktor penerapan penatakelolaan (enabler)
• Penjabaran pada tingkatan-tingkatan selanjutnya.
ORGANISASI PENGELOLAAN TIK
Pengembangan struktur organisasi pada prinsipnya perlu mempertimbangkan:
• Kelancaran proses/operasi
• Pelaksanaan pemisahan fungsi (segregation of duties)
• Ketersediaan informasi dan kelancarana rusnya.
• Penerapan sentralisasi atau desentralisasi
• Kecukupan tingkat pengendalian pimpinan (control space)
Pada penjelasan berikut perhatian difokuskanpada pemisahan fungsi yang perlu diterapkan dalam organisasi TIK.
Ada 4 fungsi utama pengelolaan TIK yang perlu dipisahkan, yaitu:
1. Application Developement (Pengembangan Aplikasi).
2. Database Administration (Administrasi Database).
3. Computer Operations (Operasi TIK).
4. Information Security (Pengamanan TIK).
Fungsi pengembangan aplikasi perlu dipisahkan dengan fungsi-fungsi lainnya untuk mengurangi risiko data dan informasi karena kemampuan pengembang aplikasi cukup memadai untuk melaksanakan apa saja baik terhadap data maupun aplikasi.
Fungsi administrator database juga perlu dipisahkan dengan fungsi lain karena tugasnya memelihara data dan informasi sehingga pihak lain, termasuk fungsi lainnya, tidak dapat mengakses dan mengubah data dan infomasi penting.
Fungsi operasi TIK, yaitu yang mendukung pelayanan TIK dan bertanggungjawab atas pengoperasian perangkat TIK perlu dipisahkan dengan fungsi-fungsi lainnya agar keamanan data dan pengaturan aksesnya dapat terjamin.
Fungsi pengamanan TIK dipisahkan dengan fungsi-fungsi lain untuk memastikan seluruh fungsi bekerja dan hanya memperoleh akses sesuai dengan wewenangnya.
Dengan dasar tersebut banyak perusahaan mengembangkan organisasi sebagaimana gambaran berikut:
Catatan:
Chief Information Officer (CIO) adalah Pimpinan Unit Pengelola TIK) yang betanggungjawab atas seluruh operasi TIK dari pengembangan hingga pengoperasiannya. Meskipun demikian, CIO tetap hanya dapat memperoleh akses terbahatas baik terhadap perangkat keras maupun perangkat lunak.
Application Development (App.Dev) melaksanakan fungsi mengembangkan aplikasi baru, menguji aplikasi baru dan memelihara aplikasi yang dipergunakan untuk menjamin kecukupan dukungan aplikasi terhadap operasi organisasi.
Application Development digambarkan memiliki atau memisahkan dua fungsi:
• New Application Development (New App. Dev.), yaitu fungsi pengembangan aplikasi.
• Application Maintenance(App. Maintenance), yaitu fungsi pemeliharaan applikasi.
Prinsip lain yang perlu diperhatikan adalah pihak/orang yang memasang (install) aplikasi harus berbeda dengan pemrogram dan pengujinya.
Database Administration (DBA )melaksanakan fungsi mengoperasikan database engine, menjaga integritas data, melaksanakan prosedur-prosedur pengamanan data dan melayani kebutuhan informasi dari database.
Pengembangan aplikasi server berupa dataservice pada beberapa perusahaan dapat dilaksanakan oleah database administrator sepanjang disetujui dan diuji oleh application development. Keamanannya pun sebaiknya melalui verifikasi information security.
Database Administrator perlu dipisahkan dari fungsi pengelolaan TIK lainnya karena memiliki kewenangan mengakses database secara penuh (super user). Demikian pula halnya dengan System Administrator dan Operating System Administrator juga perlu dipisahkan dari fungsi lainnya karena kewenangan aksesnya.
Computer Operation (Com. Operation) melaksanakan seluruh fungsi peroperasian dan pelayanan TIK.
Computer Operation digambarkan memiliki fungsi-fungsi:
• Infrastructure, yaitu pengelolaan dan pemeliharaan infrastruktur perangkat keras, termasuk jaringan komunikasi.
• Data Processing, yaitu pengelolaan operasi pelayanan.
• Help Desk
Information Security Inf.Security) melaksanakan fungsi pengamanan TIK dengan mengelola:
1. Pengembangan sistem keamanan TIK
2. Pemantauan dan respon terhadap intrusi.
3. Pengaturan akses terhadap perangkat keras.
4. Pengaturan akses terhadap perangkat lunak.
5. Pemberian dan penggantian kode sandi.
6. Pemantauan akses terhadap perangkat utama.
7. Pengujian keamanan aplikasi.
8. Pengujian keamanan perangkat keras.
Audit pemisahan fungsi TIK perlu mencakup pelaksanaan prosedur reviu berikut:
• Reviu ats kebijakan dan prosedur pengamanan TIK.
• Reviu atas kebijakan dan prosedur pengelolaan TIK.
• Reviu atas struktur organisasi pengelolaan TIK.
• Wawancara dengan SDM penting TIK termasuk Pimpinan Pengelola TIK (CIO)
• Reviu atas “sample” dokumentasi pengembangan aplikasi.
• Reviu atas “sample” dokumentasi pemeliharaan aplikasi.
• Observasi pemisahan fungsi.
• Verifikasi untuk memastikan apakah programer pemeliharaan bukanlah programer perancang dan pengembangnya.
• Reviu atas akses keamanan untuk memastikan perancang aplikasi asli tidak memiliki akses untuk memprogram untuk kepentingan pemeliharaannya.
