IT Governance

IT GOVERNANCE

IT GOVERNANCE Yuniana Cahyaningrum, S.Kom., M.Kom., Yutika Amelia Effendi, S.Kom., M.Kom., Ph.D (Cand)., Asrul Sani, Ph.D., I Kadek Arya Sugianta, S.Kom., M.Kom., Ari Cahaya Puspitaningrum, S.Kom., M.Kom., Raissa Amanda Putri, S.Kom., M.TI., Nania Nuzulita, S.Kom., M.Kom., Hermawaty, S.T., S.Kom., M.Kom., Nindy Irzavika, S.Si., M.T., Dr. Ni Luh Yulyana Dewi, S.Ikom., M.A.P., Ir. Johan Alfian Pradana, Nur Andita Prasetyo, S.Kom., M.Kom., Ari Wibowo, S.E., M.Sc.

IT GOVERNANCE Copyright© PT Penamudamedia, 2024 Penulis: Yuniana Cahyaningrum, S.Kom., M.Kom., Yutika Amelia Effendi, S.Kom., M.Kom., Ph.D (Cand)., Asrul Sani, Ph.D., I Kadek Arya Sugianta, S.Kom., M.Kom., Ari Cahaya Puspitaningrum, S.Kom., M.Kom., Raissa Amanda Putri, S.Kom., M.TI., Nania Nuzulita, S.Kom., M.Kom., Hermawaty, S.T., S.Kom., M.Kom., Nindy Irzavika, S.Si., M.T., Dr. Ni Luh Yulyana Dewi, S.Ikom., M.A.P., Ir. Johan Alfian Pradana, Nur Andita Prasetyo, S.Kom., M.Kom., Ari Wibowo, S.E., M.Sc. ISBN: 978-623-88978-6-5 Desain Sampul: Tim PT Penamuda Media Tata Letak: Enbookdesign Diterbitkan Oleh PT Penamuda Media Casa Sidoarium RT 03 Ngentak, Sidoarium Dodeam Sleman Yogyakarta HP/Whatsapp : +6285700592256 Email : [email protected] Web : www.penamuda.com Instagram : @penamudamedia Cetakan Pertama, Maret 2024 x + 183, 15x23 cm Hak cipta dilindungi oleh undang-undang Dilarang memperbanyak sebagian atau seluruh isi buku tanpa izin Penerbit

v Kata Pengantar Salam sejahtera, Saya dengan bangga mempersembahkan buku IT Governance ini kepada Anda. Buku ini dirancang khusus untuk memberikan pemahaman yang mendalam tentang pentingnya tata kelola teknologi informasi (IT governance) dalam era digital yang terus berkembang. Dalam dunia yang semakin tergantung pada teknologi informasi, organisasi harus memiliki kerangka kerja yang efektif untuk mengelola aspek-aspek IT mereka dengan tepat. IT governance menjadi landasan yang krusial dalam memastikan keberhasilan strategi, keamanan, dan kepatuhan organisasi terhadap aturan dan regulasi yang berlaku. Buku ini akan menjelajahi konsep-konsep dasar IT governance, termasuk kerangka kerja COBIT, ISO/IEC 38500, dan ITIL. Kami juga akan membahas tentang pentingnya manajemen risiko, keamanan informasi, kepatuhan hukum, dan etika dalam lingkup IT governance. Saya ingin mengucapkan terima kasih kepada semua pihak yang telah membantu dalam penulisan buku ini. Terima kasih kepada tim penulis yang telah berdedikasi untuk mengumpulkan informasi dan menyajikannya dengan cara yang jelas dan komprehensif. Juga terima kasih kepada para profesional dan

vi praktisi IT governance yang telah berbagi pengalaman dan wawasan mereka. Saya berharap buku ini memberikan pemahaman yang mendalam dan praktis tentang IT governance kepada pembaca. Semoga buku ini menjadi panduan yang berharga dalam mengoptimalkan pengelolaan teknologi informasi di organisasi Anda, sehingga dapat mencapai tujuan bisnis yang lebih baik dan menghadapi tantangan yang kompleks di era digital ini. Terima kasih atas perhatian Anda, dan selamat membaca! Salam,

vii Daftar Isi Kata Pengantar ...................................................................... v Daftar Isi ............................................................................ vii BAB 1. DEFINISI DAN KONSEP DASAR IT GOVERNANCE ........... 1 A. Pengertian IT Governance................................................1 B. Konsep Dasar IT Governance............................................3 C. Pentingnya IT Governance ...............................................5 D. Fokus Area IT Governance ...............................................6 BAB 2. STRUKTUR ORGANISASI IT GOVERNANCE .................. 10 A. Peran dan Tanggung Jawab ............................................ 11 B. Struktur Organisasi TI.................................................... 14 C. Peran Sentral Pelaksanaan ............................................. 17 D. Kata Kunci Struktur Organisasi IT Governance................. 18 BAB 3. KERANGKA KERJA IT GOVERNANCE .......................... 20 A. Konsep IT Governance................................................... 21 B. Pentingnya IT Governance ............................................. 21 C. Kerangka Kerja IT Governance Global............................. 24 BAB 4. IMPLEMENTASI KEBIJAKAN IT .................................. 38 A. Dasar-Dasar Kebijakan It................................................ 39

viii B. Kebijakan IT..................................................................43 C. Infrastruktur TI.............................................................46 BAB 5. MANAJEMEN RISIKO TI ............................................. 49 A. Konsep Dasar Risiko TI ..................................................49 B. Manajemen Risiko TI .....................................................54 BAB 6. PENGUKURAN DAN PELAPORAN KINERJA IT .............. 62 A. Proses Pengukuran & Pelaporan Kinerja TI......................63 B. Framework Pengukuran Kinerja TI .................................65 C. Best Practices dalam Pengukuran dan Pelaporan Kinerja TI ....................................................................................72 BAB 7. KEPATUHAN DAN ETIKA ........................................... 74 A. Kepatuhan ....................................................................75 B. Etika .............................................................................77 C. Kepatuhan dan Etika dalam IT Governance......................80 BAB 8. MANAJEMEN PROYEK ............................................... 82 A. Definisi Manajemen.......................................................82 B. Proyek ..........................................................................83 C. Manajemen Proyek........................................................83 D. Model Manajemen Proyek Perangkat Lunak (MPPL).........84 BAB 9. AUDIT DAN ASSURANCE TEKNOLOGI INFORMASI ...... 93 A. Audit Teknologi Informasi..............................................94 B. Assurance Teknologi Informasi ......................................97

ix BAB 10. PENDEKATAN SERVICE ORIENTED ARCHITECTURE (SOA) GOVERNANCE DALAM MENINGKATKAN PELAYANAN PUBLIK ............................................. 100 A. Pentingnya Permasalahan............................................ 101 B. SOA Governance.......................................................... 102 C. Pendekatan SOA pada E-Government Pelayanan Publik.. 103 BAB 11. TATA KELOLA VS MANAJEMEN ............................... 108 A. Konsep Tata Kelola Teknologi Informasi vs Manajemen Teknologi Informasi .................................................... 108 B. Tujuan dan Manfaat Praktis IT Governance ................... 109 C. Tujuan dan Manfaat Praktis IT Management.................. 110 D. Mekanisme IT Governance........................................... 110 E. Mekanisme IT Management ......................................... 111 F. Kerangka Kerja IT Governance dan IT Management....... 112 G. IT Governance vs IT Management................................. 113 H. Konstruk dan Diagram IT Governance vs IT Management115 BAB 12. PENTINGNYA TATA KELOLA TI ............................... 118 A. Transformasi Bisnis..................................................... 118 B. Keamanan Informasi ................................................... 120 C. Pengambilan Keputusan Berbasis Data.......................... 122 D. Efisiensi Operasional ................................................... 124 E. Inovasi dan Keunggulan Bersaing ................................. 125 F. Kepatuhan Regulasi..................................................... 127 G. Keterlibatan Pemangku Kepentingan ............................ 128

x H. Investasi yang Cerdas................................................... 130 BAB 13. TANTANGAN DAN TREND TERKINI DALAM IT GOVERNANCE ....................................................... 132 A. Tantangan Terkini dalam IT Governance ....................... 134 B. Keamanan Informasi dan Keamanan Siber .................... 135 C. Trend Terkini dalam IT Governance.............................. 141 D. Integrasi Tantangan dan Trend..................................... 150 DAFTAR PUSTAKA ............................................................. 157 TENTANG PENULIS ............................................................ 176

IT Governance 1 DEFINISI DAN KONSEP DASAR IT GOVERNANCE A. Pengertian IT Governance Teknologi Informasi (TI) merupakan bagian yang tidak dapat terpisahkan dengan perkembangan ilmu pengetahuan dewasa ini. Dengan adanya pemanfaatan TI secara besarbesaran ini telah memakan banyak sekali sumber daya tanpa diimbangi dengan capaian hasil yang diharapkan. Perlu adanya pengaturan informasi efektif dan pemanfaatan teknologi secara efisien, maka penting sekali adanya tata kelola TI yang biasa disebut dengan IT Governance (Kaban, 2014).

2 IT Governance IT Governance atau yang biasa dikenal dengan Tata Kelola Teknologi Informasi merupakan suatu kerangka kerja dengan pendekatan yang menetapkan dan mengarahkan bagaimana cara organisasi dapat diatur dan dikendaikan dengan memanfaatkan Teknologi Informasi (TI) untuk mencapai tujuan bisnis. IT Governance berfungsi untuk memastikan penggunaan teknologi infomasi dalam suatu organisasi yang mendukung strategi bisnis dengan meminimalkan risiko, dan memastikan standar peraturan yang berlaku. Teknologi yang ada saat ini sangatlah memungkinkan dalam mendukung dan meningkatkan pengetahuan terutama dalam segi pemanfaatan kecerdasan buatan. Dari segi perspektif, teknologi yang ada saat ini merupakan representasi dari pengetahuan yang dipergunakan dalam menetapkan proses manajemen pengetahuan, kemudian memperloleh informasi dan menarik kesimpulan dari pengetahuan yang kemudian di interpretasikan oleh mesin. Beberapa jenis pemanfaatan teknologi informasi saat ini sangatlah penting dalam meningkatkan pengetahuan (Cahyaningrum, 2023). IT Governance merupakan bagian yang tak terpisahkan dari Good Corporate Governance atau tata kelola perusahaan. Saat ini IT Governance menjadi kunci utama keberhasilan dalam era digital informasi. Kombinasi tata kelola ini dapat mengefektifkan kinerja suatu perusahaan dalam mengelola bisnis dalam membangun strategi pengelolaannya (Kusbandono et al., 2019). Menurut IT Government Institute (2003) pengertian Tata kelola TI (IT Governance) adalah ‚IT Governance is the responsibility of the board of directors and executive management. IT is an integral part of enterprise governance and consist of the leadership and organization’s

IT Governance 3 IT sustains and extends the organization’s strategies and objectives‛. Menurut Grembeergen, Haes, dan Guldentops (2004) tata kelola TI merupakan suatu perilaku organisasional pada level eksekutif, direksi dan manajemen TI dalam pengelolaan dan penerapan strategi TI dalam keselarasan antar bisnis dan TI. Sedangkan pendapat lainya mengartikan bahwa tata kelola TI merupakan bagian dari hubungan dan proses dalam pengelolaan organisasi untuk mencapai tujuanya dengan memberikan nilai tambah pada pemanfaatan teknologi informasi dengan mempertimbangkan resiko dalam prosesnya (Cahyaningrum et al., 2021). Dari definisi-definisi tersebut dapat dilihat pada penekanan tata kelola TI agar tercipta keseimbangan dan keselarasan dalam manajemen perusahaan. Sebuah peranan penting yang dimiliki dalam penerapan tata kelola TI dalam mewujudkan hal tersebut. Sehingga, diperlukan dukungan penuh dari pihak-pihak terkait (Cahyaningrum, 2023). B. Konsep Dasar IT Governance IT Governance merupakan sebuah konsep yang dulunya belum cukup dikenal hingga kemudian munculah istilah tata kelola yang mulanya hanya merujuk pada tata kelola perusahaan saja. Konsep pemikiran mengenai tata kelola perusahaan mulai mengalami pergeseran makna hingga melibatkan beberapa perusahaan terkemuka seperti Amerika Serikat yang sangat mengguncang dunia kala itu. Hal ini berhubungan dengan praktik kecurangan yang dilakukan dalam salah satu perusahaan tersebut. Karena hal tersebut maka diberlakukan peraturan perundangan yang dapat mengatur berkaitan legitimasi sebuah perusahaan yang mengusung transparasi, adil, dan kredibel (Muliani, 2023).

4 IT Governance Konsep dasar IT Governance adalah suatu cara dalam mengelola pemanfaatan penggunan teknologi informasi pada sebuah organisasi. Pada prosesnya IT Governance menggabungkan good practices dari perencanaan dan pengelolaan, pembuatan, penerapan, pengiriman, dan dukungan serta pemantauan kinerja sistem informasi dlaam memastikan setiap informasi dan teknologi yang saling berkaitan dengan dukungan visi dan misi organisasi melalui audit sistem tersebut. Audit sistem informasi dalam perusahaan dapat dilakukan dengan mencari kekurangan dan merekomendasikan perbaikan sistem informasi. Hal ini bertujuan agar kondisi saat ini dapat diketahui melalui evaluasi sistem yang berjalan (Maranjaya, 2022). Pada penetapan standar yang dimiliki suatu perusahaan dirumuskan beberapa langkah strategis dalam pengelolaan perusahaan. Secara umum strategi dalam perusahaan dapat digambarkan melalui konsep tata kelola TI. Konsep yang perlu diingat adalah bahwa setiap aktivitas TI yang sering dilakukan harus disesuaikan dengan perubahan dan perkembangan TI yang semakin meningkat. Sebagai contoh, CIO menyadari pentingnya penerapan Service Level Agreements (SLA) antar user dan TI sebagai cara yang tepat dalam meningkatkannya (Inayatulloh, 2020). Dalam hal ini manajemen senior yang tidak sependapat dengan ide tata kelola TI, maka CIO harus menerima arahan manajemen senior dan melanutkan perbaikan lanjut yang diperlukan. Arsitektur TI bagi perusahaan mendefinisikan aturan operasi keseluruhan dan tata kelola TI yang bertujuan meningkatkan tata kelola secara keseluruhan perusahaan (Cahyaningrum, 2023). Hal ini dapat ditunjukkan pada Gambar 1. Konsep IT Governance.

IT Governance 5 Gambar 1. Konsep IT Governance C. Pentingnya IT Governance Perkembangan kemajuan teknologi pada telekomunikasi dan teknologi informasi telah membuat banyak sekali perubahan terhadap suatu tatanan organisasi yang ada. Hal ini tentu saja membawa banyak dampak dan manfaat yang ada dalam aktivtas masyarakat dan berbagai sektor baik pemerintahan maupun swasta. Berbagai kebijakan kemudian di susun dan dirancang sedemikian rupa dalam mengatur kehidupan dalam menangani setiap persoalan yang ada (Hardiansyah, 2019). Tata kelola TI merupakan tolok ukur perkembangan dan keberhasilan suatu bisnis, meliputi keuangan dan kesehatan. Tata kelola TI sejatinya mengenai bagaimana suatu organisasi dapat mengelola keterampilan dalam menggunakan strategi dan sasaran TI. Tata kelola TI sangatlah penting karena dapat mendukung berbagai aktivitas seiring perkembangan teknologi (Inayatulloh, 2020).

6 IT Governance Beberapa alasan mengapa tata kelola TI dianggap penting dan diperlukan dalam suatu perusahaan diantaranya. Tata kelola TI yang baik dapat menghemat biaya. Hal ini telah diterapkan pada sebuah perusahaan dan terbukti dapat menghemat biaya hingga 20 % dengan operational excellent. TI merupakan sesuatu yang mahal, artinya investasi pada infrastruktur TI bersifat fleksibel dengan memperhatikan efektivitas dan efisiensi biaya dalam mencapai tujuan bisnis. Penggunaan TI yang semakin meluas juga diperlukan kerjasama yang baik dari berbagai pihak agar tidak bertumpu pada satu aspek saja. Tata kelola TI yang baik dapat memberikan peluang dalam menghindari ancaman lebih cepat. Bagi perusahaan yang maju maka pengelolaan TI dengan cara yang berbeda sesuai dengan langkah yang diambil masing-masing. Penempatan sumber daya yang baik dan infrastruktur yang tepat dalam menangani proses tertentu menjadikan nilai TI lebih dari sekedar teknologi yang baik, sehingga peran TI ini sangatlah kritis dan penting bagi perusahaan karena membawa dampak baik dengan performa dan citra kepada publik. Karena tidak semua keputusan pada level eksekutif perusahaan, maka perlu adanya tata kelola TI yang baik agar dalam proses pengambilan keputusan dapat dilakukan secara cepat dan akuntabel sesuai sasaran dan arahan level eksekutif perusahaan (Nadila et al., 2021). D. Fokus Area IT Governance Fokus area pada tata kelola TI merupakan kemampuan dalam menyelaraskan tujuan bisnis dan pemanfaatan TI sehingga tujuan suatu organisasi atau perusahaan dapat tercapai dengan mudah. Investasi pada penggunaan TI ini nanti harapannya dapat kembali menjadi modal bagi

IT Governance 7 perusahaan atau organisasi tersebut. Agar penggunaan TI tidaklah sia-sia maka diperlukan sebuah tata kelola yang baik dan efisien. Fokus area pada IT Governance terbagi menjadi lima bagian, yaitu IT strategic alignment, IT value delivery, resource management, risk management, dan performance measurement (Kusmiarti, 2020). Menurut IT Governance Institute (ITGI) pada tata kelola TI terdapat lima area yang menjadi focus perhatian, yaitu sebagai-berikut : 1. IT Strategic Alignment (Keselarasan Strategi) Implementasi TI harus mendukung pencapaian visi dan misi suatu perusahaan, dimana keselarasan dengan strategi perusahaan atau organisasi. Keterkaitan antar bisnis dipastikan sesuai dengan ketentuan dan organisasi harus menyelaraskan penerapan dengan tujuan organisasi tersebut. Dapat dikatakan bahwa penyelarasan antara tujuan organisasi dan penggunaan TI harus sesuai dengan penerapan strategi oleh manajemen eksekutif perusahaan (Syairozi et al., 2021). 2. IT Value Delivery (Penyampaian Nilai) Pengimplementasian TI harus dapat memberikan nilai tambah (adding value) untuk mencapai visi dan misi organisasi. Pada seluruh siklus delivery, memastikan bahwa teknologi informasi dapat memberikan manfaat sesuai dengan tujuan bisnis yang tertuang dalam strategi. Pada suatu organisasi penggunaan TI tidak lagi selaras dengan tujuan organisasi, namun bagaimana TI ini dipilih dan disesuaiakan dengan tujuan organisasi dapat selaras tujuan bisnis dan penggunaan TI. 3. Risk Management (Manajemen Resiko) Dalam penerapan TI harus menimbang identifikasi resiko TI apa saja yang diperoleh, sehingga dapat

8 IT Governance ditangani setiap hambatannya. Risk management merupakan tahapan dimana suatu organisasi atau perusahaan dapat memper-hitungkan tingkat sebuah resiko yang terjadi maupun yang akan terhadi nantinya dari penggunaan TI pada proses bisnis tersebut. Resiko yang ada sejatinya hanya dapat diminimalisir saja dan tidak dapat dihindari atau dihilangkan. Penanganan manajemen resiko yang baik dapat memperoleh solusi yang mudah diaplikasikan (Hapsari, 2014). 4. Resource Management (Manajemen Sumberdaya) Sumberdaya yang memadai dapat mendukung penerapan TI dan sedapat mungkin penggunaanya secara optimal. Investasi yang optimal dalam pengelolaan sumberdaya teknologi informasi dapat memberikan manfaat pada proses pelaksanaan bisnis dengan pemanfaatan TI mulai dari software, hardware, dan brainware sehingga seluruh aspek dapat berjalan dengan baik dan lancar. Perhitungan biaya yang dalam pemanfaatan TI juga perlu ditentukan agar dapat diukur seberapa efektif hingga investasi dapat kembali menjadi modal (Retnowati, 2012). 5. Performance Measurement (Pengkuran Kinerja) Pengukuran kinerja dalam penerapan TI harus dapat diukur dan dievaluasi secara berkala agar memastikan kinerja dan kapasitas sesuai dengan kebutuhan bisnis. Pengikuran kinerja dapat menjadi track record implementtasi strategu, penyelesaian proyek, penggunaan sumber daya, proses kinerja dan pelayanan missal balanced scorecard ke dalam tindakan untuk mencapai tujuan yang terukur (Saptono, 2014). Hal ini dapat ditunjukkan pada Gambar 2. Fokus Area IT Governance.

IT Governance 9 Gambar 2. Fokus Area IT Governance

10 IT Governance STRUKTUR ORGANISASI IT GOVERNANCE T Governance atau Tata Kelola Teknologi Informasi (TI) dapat diartikan sebagai kerangka interaksi dan langkahlangkah yang memberikan panduan serta pengelolaan suatu organisasi untuk mencapai tujuannya dengan menambah nilai melalui optimalisasi pemanfaatan teknologi informasi. Implementasi Tata Kelola TI bertujuan untuk mencapai keselarasan antara risiko dan hasil yang diperoleh dari pemanfaatan teknologi informasi dan prosesnya. Dalam esensinya, tata kelola TI menitikberatkan pada dua aspek utama, yaitu kontribusi teknologi informasi terhadap peningkatan nilai dalam konteks bisnis dan upaya untuk mengurangi atau meminimalkan risiko yang terkait dengan teknologi informasi. I

IT Governance 11 Pertanyaan yang muncul adalah, "Bagaimana suatu organisasi dapat mengimplementasikan tata kelola TI?" Implementasi tata kelola TI dapat dicapai melalui kombinasi berbagai struktur, proses, dan mekanisme hubungan yang disesuaikan dengan karakteristik organisasi. Saat merancang tata kelola TI untuk sebuah entitas, perencanaan yang cermat menjadi krusial. Keputusan untuk menerapkan tata kelola TI sering kali dipengaruhi oleh berbagai faktor internal dan eksternal yang kadang-kadang saling bertentangan. Pendekatan yang berhasil untuk suatu organisasi tidak selalu berhasil untuk organisasi lain dan menentukan kombinasi yang unik dari struktur, proses, dan mekanisme hubungan juga merupakan suatu tugas yang kompleks. A. Peran dan Tanggung Jawab Pemahaman peran serta tanggung jawab pihak-pihak terlibat menjadi hal esensial yang diperlukan untuk membangun suatu kerangka tata kelola TI yang efektif. Peran utama dewan direksi dan manajemen eksekutif (meliputi CEO (Chief Executive Officer) dan CIO (Chief Information Officer)) adalah memastikan keberhasilan tata kelola TI dengan menyampaikan secara jelas peran dan tanggung jawab kepada seluruh karyawan, serta menjamin pemahaman yang seragam di seluruh organisasi. Seorang CIO, meskipun menduduki posisi strategis di sebuah organisasi, bukanlah satu-satunya pihak yang berperan dalam tata kelola TI. CEO juga turut serta bertanggung jawab untuk mengimplementasikan rencana dan kebijakan strategis yang telah ditetapkan oleh dewan direksi, dan keduanya secara selaras diharapkan memberikan laporan kinerja bisnis dan kepatuhan kepada dewan

12 IT Governance direksi. Di sisi lain, karena adanya persaingan yang cepat dan lingkungan bisnis yang dinamis, manajemen organisasi diharuskan melakukan pemantauan intensif terhadap aspek eksternal, meliputi perilaku pasar dan kebutuhan pelanggan secara terus-menerus. Secara umum terdapat tujuh cara efektif untuk memahami aspek internal dan eksternal organisasi, yaitu: 1) melibatkan tim Sumber Daya Manusia (SDM) yang rutin mempelajari kondisi pasar; 2) analisis mendalam terhadap proses penciptaan produk atau jasa; 3) diskusi internal yang teratur; 4) partisipasi dalam seminar industri; 5) aktif membaca publikasi terkait industri; 6) menjadi anggota forum bisnis dan akademis; dan 7) menjalin komunikasi konsisten dengan manajer lini organisasi. Selain itu, tanggung jawab CIO melibatkan upaya untuk membangun kepercayaan terhadap departemen/divisi Teknologi Informasi (DTI) di mana ia di tempatkan. Hal ini sangat penting karena pemanfaatan teknologi informasi secara strategis merupakan indikator utama keberhasilan bisnis, baik pada masa kini maupun masa yang akan datang. DTI juga menjadi bagian yang krusial bagi organisasi untuk membangun reputasi baik organisasi di masyarakat. Selain melibatkan dewan direksi dan manajemen eksekutif, pengembangan dan pelatihan SDM di dalam organisasi juga merupakan aspek yang penting untuk diimplementasikan. Upaya tersebut dapat dilakukan melalui pemanfaatan teknologi informasi secara optimal, penyediaan pendidikan dan pelatihan edukatif secara berkala, serta menciptakan produk-produk yang telah teruji mendukung tugas-tugas harian karyawan. Dalam upaya meningkatkan kualitas kinerja SDM melalui pemberdayaan karyawan, CIO

IT Governance 13 bertanggung jawab untuk mempromosikan penggunaan aktif teknologi informasi di seluruh lini organisasi. Hal ini tentunya tidak mudah, oleh karena itu CIO memerlukan strategi untuk merangsang minat karyawan dalam memperdalam pengetahuan dan pemanfaatan teknologi informasi yang tersedia. Pendekatan tersebut dapat bervariasi, mulai dari aspek hiburan seperti permainan pada acara rekreasi organisasi hingga kegiatan workshop atau assessment berkala. Seluruh strategi ini dimaksudkan agar karyawan memiliki kemampuan literasi komputer yang mumpuni, yang berdampak ke peningkatan kualitas kinerja dan berkontribusi pada perkembangan teknologi informasi di organisasi melalui inovasi-inovasi baru di masa depan. Selanjutnya, CIO juga berkontribusi aktif dalam menetapkan visi organisasi melalui optimalisasi dan pemanfaatan teknologi informasi. Visi tersebut menjadi elemen integral yang tidak terpisahkan dari visi organisasi secara keseluruhan. CIO juga berperan serta mewujudkan visi dengan memasyarakatkan ide-ide ke seluruh jajaran manajemen dan staf. Misi terakhir CIO melibatkan perencanaan dan pengembangan arsitektur teknologi informasi organisasi, seperti perangkat lunak (software), perangkat keras (hardware), manusia (brainware), proses, prosedur, infrastruktur, standar, dan lainnya. Dengan berkesinambungan, seorang CIO perlu mengoptimalkan teknologi informasi saat ini seiring dengan rencana pengembangannya di masa depan, dengan tujuan membantu karyawan melaksanakan tugas sehari-hari melalui pemanfaatan teknologi informasi.

14 IT Governance B. Struktur Organisasi TI Keberhasilan tata kelola TI sangat dipengaruhi oleh integrasi yang baik antara fungsi TI dalam proses pengambilan keputusan. Dalam konteks ini, struktur organisasi dalam Tata Kelola TI menjadi faktor kunci. Terdapat berbagai model struktur organisasi TI, termasuk sentralisasi dan desentralisasi, yang diterapkan dalam praktiknya. Salah satu model yang umum digunakan adalah struktur yang menggabungkan sentralisasi dan desentralisasi, dengan penekanan pada efisiensi dan standardisasi infrastruktur, sekaligus memperhatikan efektivitas dan fleksibilitas dalam pengembangan aplikasi. Kesesuaian struktur organisasi TI dengan tujuan DTI mengharuskan manajer TI memilih struktur yang sesuai dengan kebutuhan, sehingga dapat menghindari potensi masalah dalam hal kinerja, peran, dan komunikasi. Dalam menghadapi perkembangan dan perubahan dalam bidang teknologi informasi, manajer TI harus melakukan tinjauan dan penyesuaian terhadap struktur DTI sesuai dengan strategi dan masukan terkini. Proses mendesain struktur organisasi TI bukan hanya tentang bagan unit dan jabatan, melainkan desain sistematis berdasarkan fakta, standar, dan pengalaman. Proses dapat dimulai dengan validasi kebutuhan untuk merancang ulang struktur yang sudah ada, serta memastikan masalah terkait struktur diidentifikasi dan diperbaiki dengan proses perbaikan yang melibatkan pengumpulan fakta dan keputusan strategis. DTI memiliki opsi untuk mengadopsi desain komprehensif sebagai referensi best practice atau membangun desain secara bertahap dengan langkah-langkah yang mengarah pada struktur yang sesuai dengan strategi dan

IT Governance 15 kebutuhan. Meskipun terdapat banyak variasi desain organisasi TI, pendekatan proses diterapkan untuk menyesuaikan dengan berbagai jenis departemen/divisi. Pada akhirnya, desain struktur organisasi yang dipilih dan dijalankan tetap menghasilkan struktur yang spesifik dan disesuaikan dengan strategi serta kebutuhan dari DTI tersebut. Selanjutnya dalam menjelaskan praktik terbaik desain struktur organisasi TI juga diperlukan dokumen yang menyajikan proses atau langkah-langkah yang terperinci dan dilengkapi dengan contoh-contoh pendukung. Hal ini bertujuan agar DTI dapat menyesuaikan desain struktur organisasi yang telah direncanakan dengan cepat, mampu menjelaskan langkah-langkah proses yang akan diterapkan dengan rinci, serta mendorong adaptasi khusus sesuai dengan kebutuhan DTI yang spesifik. Adapun tujuan Manajer TI terlibat dalam proses perancangan organisasi TI pada tingkat strategis dan taktis, yaitu meliputi: 1) beradaptasi dengan arah strategis baru organisasi; 2) memberikan penyelesaian untuk masalah yang muncul akibat kekurangan efisiensi dalam struktur yang sedang berlangsung; 3) menangani konflik di antara posisiposisi dalam struktur organisasi; 4) mengurangi tingkat kesalahan yang berasal dari tindakan SDM organisasi; dan 5) meminimalkan ketidakpastian terkait struktur hierarki dan penyebaran tugas serta tanggung jawab. Proses ini dimaksudkan untuk mengadaptasi struktur DTI yang ada agar sejalan dengan visi, misi, strategi, dan tujuan organisasi. Keputusan yang diambil oleh manajemen menjadi masukan utama, dan hasilnya adalah suatu perencanaan mengenai struktur organisasi yang dapat dijalankan di dalam organisasi.

16 IT Governance Setelah tercapai kesepakatan mengenai desain struktur organisasi, restrukturisasi kemudian dilakukan. Restrukturisasi DTI di organisasi dilakukan karena berbagai alasan yang muncul dari perkembangan bisnis, perubahan teknologi, dan kebutuhan untuk meningkatkan efisiensi serta respons terhadap tantangan yang berkembang. Berikut adalah beberapa alasan umum mengapa restrukturisasi DTI seringkali dianggap perlu: 1. Perubahan arah dan kebijakan bisnis organisasi; 2. Mengadopsi teknologi baru yang berkembang, seperti komputasi awan, kecerdasan buatan, atau Internet of Things (IoT); 3. Efisiensi dan produktivitas dalam pengelolaan serta pemanfaatan teknologi informasi; 4. Penyesuaian terhadap perubahan struktural organisasi; 5. Peningkatan keamanan informasi; 6. Pemenuhan standar industri dan kepatuhan terhadap regulasi pemerintah tertentu; 7. Peningkatan layanan pelanggan; 8. Inovasi dan pengembangan agar organisasi dapat tetap bersaing dan memanfaatkan peluang baru yang muncul di dunia teknologi; 9. Manajemen risiko organisasi yang terkait dengan teknologi informasi; 10.Penyesuaian terhadap tuntutan dan kebutuhan pasar. Tujuan restrukturisasi DTI di organisasi melibatkan beberapa aspek yang dirancang untuk meningkatkan efektivitas dan efisiensi layanan TI. Beberapa tujuan utama restrukturisasi tersebut meliputi:

IT Governance 17 1. Pelayanan TI yang efektif: mencakup bermitra dengan penyedia layanan, mengkoordinasikan implementasi Service Level Agreements (SLA) TI, serta menjamin manajemen pelayanan SLA yang akurat; 2. Manajemen keamanan TI yang optimal; 3. Optimalisasi jaringan dan infrastruktur TI; 4. Manajemen operasional TI yang lebih baik; 5. Peningkatan kepemimpinan TI untuk memandu dan mengawasi kebijakan dan strategi TI; 6. Menentukan posisi dan struktur internal organisasi TI yang mendukung secara konsisten proses tata kelola TI; 7. Ketersediaan dan kualifikasi SDM TI yang berkualitas; 8. Mendorong inovasi dalam penggunaan teknologi informasi dan merancang visi serta strategi untuk pengembangan sistem informasi di masa depan; 9. Menyesuaikan struktur DTI dengan perubahan dan perkembangan dalam lingkungan bisnis dan teknologi informasi; 10.Memastikan bahwa restrukturisasi berkontribusi secara positif terhadap kinerja keseluruhan organisasi dan memberikan dampak positif pada produktivitas. C. Peran Sentral Pelaksanaan Komite Strategi TI dan Komite Pengarah TI memegang peran sentral dalam pelaksanaan tata kelola TI. Dalam konteks ini, pentingnya tata kelola TI sebagai elemen tak terpisahkan dari tata kelola organisasi menimbulkan kebutuhan khusus bagi dewan pengawas, yang bertanggung jawab mengelola organisasi secara menyeluruh.

18 IT Governance Dewan direksi dapat menjalankan fungsi pengawasan tata kelola melalui pembentukan berbagai komite, salah satunya adalah Komite Strategi TI. Komite ini terdiri dari anggota dewan pengawas dan individu lain yang bukan bagian dari dewan direksi, yang memiliki peran membantu mengelola dan mengawasi aspek-aspek terkait TI dalam lingkup organisasi. Fungsi utama yang diemban oleh Komite Strategi TI adalah memastikan bahwa isu-isu TI secara rutin dimasukkan ke dalam agenda dewan dan dikelola secara sistematis. Kerjasama yang erat antara Komite Strategi TI, komite-komite lain dalam dewan pengawas, dan dewan direksi diharapkan dapat memberikan panduan, menilai, dan menyesuaikan organisasi agar sejalan dengan strategi dan aspek TI yang berkembang. Di sisi lain, implementasi strategi TI menjadi tanggung jawab manajemen eksekutif, yang dibantu oleh satu atau lebih Komite Pengarah TI. Secara umum, tugas utama Komite Pengarah TI melibatkan pengawasan terhadap proyek-proyek skala besar, manajemen prioritas TI, dan pengaturan biaya serta alokasi sumber daya TI. Meskipun Komite Strategi TI beroperasi di tingkat dewan direksi, Komite Pengarah TI berada di tingkat eksekutif dengan struktur keanggotaan dan kewenangan yang berbeda. D. Kata Kunci Struktur Organisasi IT Governance Struktur organisasi tata kelola IT biasanya dirancang untuk memastikan bahwa pengambilan keputusan terkait teknologi informasi sejalan dengan tujuan organisasi dan nilai organisasi dijaga dengan baik. Struktur ini dapat ber-

IT Governance 19 variasi tergantung pada ukuran dan kompleksitas organisasi, tetapi umumnya mencakup elemen-elemen berikut: Struktur Tanggung Jawab Dewan Direksi (Board of Directors) menetapkan arah strategis organisasi, termasuk kebijakan dan tujuan terkait TI Komite Strategi TI (IT Strategy Committee) membantu mengatur dan mengawasi aspek-aspek TI di organisasi Komite Pengarah TI (IT Steering Committee) mengawasi proyek-proyek besar, mengelola prioritas TI, serta mengatur biaya dan alokasi sumber daya TI Chief Information Officer (CIO) pengelolaan keseluruhan fungsi TI di organisasi dan memastikan bahwa inisiatif TI sejalan dengan tujuan bisnis Manajer TI (IT Managers) fokus pada operasional sehari-hari dan implementasi proyek-proyek TI Departemen/ Divisi TI mencakup infrastruktur, pengembangan perangkat lunak, keamanan TI, dukungan pengguna, dan fungsi TI lainnya Karyawan (End Users) menggunakan teknologi informasi dalam menjalankan tugas sehari-hari Struktur ini membantu menentukan peran dan tanggung jawab masing-masing entitas dalam organisasi untuk memastikan bahwa pengelolaan TI sesuai dengan kebutuhan dan tujuan bisnis secara efektif.

20 IT Governance KERANGKA KERJA IT GOVERNANCE i era digital yang terus berkembang, peran teknologi informasi (TI) dalam operasi bisnis menjadi semakin sentral. Organisasi mengandalkan TI untuk mendukung pertumbuhan, inovasi, efisiensi, dan pengambilan keputusan yang tepat waktu. Namun, dengan keuntungan yang dibawa oleh TI juga datang tantangan baru, seperti risiko keamanan siber, pengelolaan data yang kompleks, dan perubahan yang cepat dalam teknologi. Dalam era digital yang terus berkembang, pengelolaan TI dengan baik menjadi kunci untuk mencapai keberhasilan organisasi. Kerangka kerja IT Governance memberikan panduan dan struktur yang diperlukan untuk menghadapi tantangan ini D

IT Governance 21 dan memastikan bahwa TI mendukung pencapaian tujuan bisnis secara efektif dan efisien Inilah mengapa kerangka kerja IT Governance menjadi sangat penting. IT Governance adalah pendekatan sistematis yang digunakan oleh organisasi untuk mengelola, mengendalikan, dan mengawasi penggunaan TI agar sesuai dengan tujuan bisnis dan mencapai nilai yang diharapkan. Dalam pengantar ini, kita akan menjelajahi konsep, pentingnya, dan elemen utama dari kerangka kerja IT Governance, serta bagaimana hal ini memengaruhi berbagai aspek organisasi. A. Konsep IT Governance Pada intinya, IT Governance adalah tentang memastikan bahwa TI digunakan dengan cara yang mendukung tujuan dan visi organisasi. Ini melibatkan pengambilan keputusan strategis terkait dengan TI, manajemen risiko yang terkait dengan penggunaan TI, pemantauan dan pengukuran kinerja TI, serta memastikan kepatuhan terhadap regulasi dan standar yang berlaku. Dalam dunia yang semakin terhubung dan canggih, IT Governance membantu organisasi mengatasi tantangan pengelolaan TI dengan cara yang efektif dan efisien (Smallwood, 2019). B. Pentingnya IT Governance Pentingnya IT Governance tidak dapat diabaikan. Pertama-tama, TI adalah aset yang sangat berharga bagi organisasi. Dengan mengelola TI dengan baik, organisasi dapat mencapai efisiensi yang lebih tinggi, meningkatkan produktivitas, dan mendukung inovasi. Namun, jika tidak dikelola dengan baik, TI juga dapat menjadi sumber risiko yang signifikan, termasuk risiko keamanan informasi, risiko

22 IT Governance operasional, dan risiko kepatuhan (Joshi, Bollen, Hassink, De Haes, & Van Grembergen, 2018). Selain itu, dalam lingkungan bisnis yang semakin kompleks dan terhubung, pemangku kepentingan seperti dewan direksi, manajemen eksekutif, dan pemegang saham semakin peduli dengan bagaimana TI dikelola. Mereka ingin memastikan bahwa penggunaan TI sesuai dengan visi strategis organisasi dan memberikan nilai yang diharapkan. Kerangka kerja IT Governance adalah sebuah pendekatan sistematis yang digunakan oleh organisasi untuk mengelola, mengendalikan, dan mengawasi penggunaan teknologi informasi (TI) agar sesuai dengan tujuan bisnis dan mencapai nilai yang diharapkan. Ini adalah salah satu aspek yang sangat penting dalam pengelolaan bisnis di era digital saat ini, karena TI memainkan peran yang semakin krusial dalam operasi sehari-hari organisasi (Setiawan, 2014). Kerangka kerja IT Governance melibatkan sejumlah elemen kunci yang bekerja sama untuk mengarahkan dan mengelola penggunaan TI secara efektif. Salah satu elemen utama adalah strategi dan perencanaan TI. Ini mencakup pembentukan rencana jangka panjang dan pendek yang sesuai dengan tujuan dan visi organisasi. Strategi ini harus sejalan dengan kebutuhan bisnis dan mendukung pertumbuhan dan efisiensi. Selanjutnya, manajemen risiko merupakan bagian yang penting dari kerangka kerja ini. Organisasi harus mampu mengidentifikasi, mengevaluasi, dan mengelola risiko yang terkait dengan penggunaan TI. Hal ini termasuk risiko keamanan informasi, risiko kegagalan sistem, dan risiko lainnya yang dapat memengaruhi kelangsungan bisnis.

IT Governance 23 Pemantauan dan pengukuran kinerja adalah komponen lainnya yang penting dalam kerangka kerja IT Governance. Organisasi perlu memantau secara berkelanjutan kinerja operasional TI mereka. Ini melibatkan pengukuran kinerja dan pemantauan untuk memastikan bahwa tujuan strategis tercapai dan bahwa proses TI berjalan sesuai rencana (Lediwara, 2020). Kerangka kerja ini juga mencakup aspek kepatuhan dan audit. Organisasi harus mematuhi regulasi dan standar yang berlaku terkait dengan penggunaan TI. Melakukan audit secara berkala adalah langkah penting untuk mengevaluasi efektivitas kontrol TI dan memastikan kepatuhan. Selain itu, keterlibatan pemangku kepentingan adalah komponen yang sangat penting dalam kerangka kerja IT Governance. Ini mencakup keterlibatan aktif dari dewan direksi dan manajemen eksekutif dalam pengambilan keputusan TI. Komunikasi yang efektif dengan seluruh pemangku kepentingan, baik internal maupun eksternal, juga merupakan aspek penting untuk menjaga transparansi dan dukungan. Kerangka kerja IT Governance dapat disesuaikan dengan kebutuhan dan ukuran organisasi. Berbagai kerangka kerja global seperti COBIT, ITIL, dan ISO/IEC 27001 dapat diadopsi atau disesuaikan sesuai keperluan. Di Indonesia, terdapat kerangka kerja yang sesuai dengan regulasi dan kebutuhan lokal, seperti SP3 untuk lembaga pemerintah. Kerangka kerja IT Governance adalah fondasi penting dalam pengelolaan TI yang efektif. Dalam era digital yang penuh dengan potensi dan risiko, organisasi yang menerapkan IT Governance dengan baik dapat mencapai efisiensi, inovasi, dan keberlanjutan yang lebih tinggi. Namun, untuk

24 IT Governance mencapai hal ini, diperlukan komitmen dari seluruh organisasi, serta pemahaman yang kuat tentang pentingnya IT Governance dalam mencapai tujuan bisnis. Dengan menerapkan kerangka kerja IT Governance yang tepat, organisasi dapat memastikan bahwa TI adalah aset yang mendukung, bukan beban (Andry & Sebastian, 2018). C. Kerangka Kerja IT Governance Global 1. COBIT COBIT, singkatan dari Control Objectives for Information and Related Technologies, adalah kerangka kerja yang telah berkembang menjadi salah satu standar global utama untuk manajemen dan tata kelola TI. Dikembangkan oleh ISACA (Information Systems Audit and Control Association), COBIT menyediakan metodologi yang komprehensif untuk memastikan bahwa TI mendukung tujuan bisnis organisasi . Sejak diperkenalkan pada pertengahan tahun 1990-an, COBIT telah mengalami beberapa revisi dengan versi terbaru, COBIT 2019, yang menyediakan kerangka kerja yang lebih fleksibel dan adaptif dibandingkan pendahulunya. COBIT 2019 memungkinkan organisasi untuk menghadapi tantangan TI yang terus berubah dan memenuhi kebutuhan bisnis yang dinamis. Kekuatan utama dari COBIT terletak pada kemampuannya untuk menjembatani celah antara kebutuhan bisnis, risiko TI, dan persyaratan kontrol. Dengan menggunakan COBIT, para pemimpin bisnis dan IT dapat mengidentifikasi, merencanakan, menerapkan, dan mengelola inisiatif TI yang efektif dan efisien yang selaras dengan tujuan bisnis. Ini melibatkan penilaian

IT Governance 25 kinerja, pengelolaan risiko, dan penyediaan kerangka kerja untuk tata kelola yang baik (De Haes et al., 2020). Salah satu aspek penting dari COBIT adalah fokusnya pada penyelarasan strategis. Kerangka kerja ini menekankan pentingnya memastikan bahwa rencana TI selaras dengan strategi bisnis. Hal ini tidak hanya mencakup pengelolaan infrastruktur TI tetapi juga pengelolaan informasi, yang merupakan aset penting bagi banyak organisasi. COBIT menyediakan alat dan sumber daya untuk memastikan bahwa TI memberikan nilai optimal kepada bisnis. Manajemen risiko adalah komponen penting lainnya dari COBIT. Dalam dunia bisnis saat ini, di mana ancaman keamanan siber dan kepatuhan regulasi menjadi semakin penting, COBIT membantu organisasi mengidentifikasi dan mengelola risiko TI. Kerangka kerja ini memandu organisasi dalam mengembangkan kebijakan dan prosedur untuk mengelola risiko, memastikan keamanan informasi, dan mematuhi hukum serta peraturan yang berlaku. Salah satu aspek unik COBIT adalah pendekatannya yang berbasis proses. Kerangka kerja ini mengidentifikasi serangkaian proses TI yang penting dan memberikan model matang untuk mengelola dan meningkatkan proses-proses tersebut. Dengan pendekatan ini, organisasi dapat mengukur kinerja TI mereka dan membuat peningkatan berkelanjutan. Pengukuran kinerja dan pelaporan merupakan aspek penting lain dari COBIT. Kerangka kerja ini menyediakan indikator kinerja utama (KPI) dan indikator tujuan utama (KGI) yang membantu organisasi mengevaluasi seberapa

26 IT Governance baik TI mereka mendukung tujuan bisnis. Ini memungkinkan organisasi untuk membuat keputusan berbasis data dan meningkatkan proses dan layanan TI mereka (Purwaningrum, Nadhiroh, & Mukaromah, 2021). Kerangka kerja COBIT juga memberikan panduan tentang tata kelola TI yang baik. Ini termasuk pengaturan struktur tata kelola yang tepat, penentuan peran dan tanggung jawab, dan pembangunan budaya organisasi yang mendukung tata kelola TI yang efektif. Kerangka kerja ini membantu organisasi membangun kerjasama yang lebih baik antara departemen TI dan departemen lainnya. Dalam penggunaannya, COBIT sering dipadukan dengan kerangka kerja dan standar lain seperti ITIL (Information Technology Infrastructure Library) untuk manajemen layanan TI, dan ISO/IEC 27001 untuk manajemen keamanan informasi. Kombinasi kerangka kerja ini memberikan pendekatan yang lebih lengkap dan terintegrasi dalam mengelola dan mengatur TI. Dalam konteks global yang terus berubah dan tantangan bisnis yang berkembang, COBIT menyediakan kerangka kerja yang solid untuk organisasi yang ingin memastikan bahwa investasi TI mereka memberikan nilai nyata dan mendukung tujuan bisnis mereka. Dengan penerapan yang tepat, COBIT dapat membantu organisasi mengelola TI mereka dengan lebih efektif, meningkatkan kinerja TI, dan akhirnya, mendukung pencapaian kesuksesan bisnis (Oktarina, 2022).

IT Governance 27 2. ITIL ITIL, atau Information Technology Infrastructure Library, merupakan kerangka kerja manajemen layanan TI yang mendefinisikan serangkaian praktik terbaik. Dikembangkan di Inggris pada 1980-an, ITIL telah berkembang menjadi standar global dalam manajemen layanan TI, dipandang sebagai pustaka pengetahuan yang krusial untuk mengelola efisiensi dan efektivitas infrastruktur TI. Inti dari ITIL adalah penyediaan layanan TI yang berkualitas tinggi dan memenuhi kebutuhan bisnis. Pendekatan ITIL berfokus pada pemahaman mendalam tentang kebutuhan pelanggan dan penggunaan praktik yang terstruktur untuk mengelola layanan TI. Ini mencakup aspek seperti desain, pengembangan, penyerahan, dan dukungan layanan TI. Salah satu aspek unik dari ITIL adalah siklus hidup layanan, yang merupakan model operasional utama dalam kerangka kerja ini. Siklus hidup ini mencakup lima tahap: Strategi Layanan, Desain Layanan, Transisi Layanan, Operasi Layanan, dan Perbaikan Layanan yang Berkelanjutan. Setiap tahap ini berkontribusi terhadap pemahaman yang lebih baik tentang bagaimana layanan TI dapat direncanakan, dikirimkan, dan ditingkatkan. Strategi Layanan dalam ITIL fokus pada pemahaman dan definisi pasar, serta penciptaan nilai bagi pelanggan melalui layanan. Ini menetapkan dasar untuk bagaimana layanan TI akan dirancang, dikelola, dan disampaikan untuk memenuhi kebutuhan bisnis. Di sini, proses pengambilan keputusan strategis terjadi, termasuk

28 IT Governance penilaian kebutuhan pelanggan dan persyaratan layanan (Prasetyo, 2018). Operasi Layanan berfokus pada kegiatan harian yang diperlukan untuk mengelola layanan TI. Ini mencakup manajemen insiden, permintaan, masalah, dan kejadian keamanan, serta pemeliharaan operasional layanan TI. Tujuan dari tahap ini adalah untuk memastikan bahwa layanan TI dikirimkan dengan cara yang efisien dan konsisten. Perbaikan Layanan yang Berkelanjutan, tahap terakhir dari siklus hidup ITIL, bertujuan untuk terus memperbaiki dan mengembangkan kapasitas layanan TI. Ini didasarkan pada umpan balik dari pelanggan dan pengguna, serta analisis data kinerja. Tahap ini memastikan bahwa layanan TI tetap relevan, efektif, dan efisien sepanjang waktu. Penggunaan ITIL dalam sebuah organisasi membawa sejumlah manfaat. Ini termasuk peningkatan kualitas layanan TI, efisiensi operasional yang lebih baik, pengurangan biaya, dan peningkatan kepuasan pelanggan. ITIL juga mendukung kerja sama yang lebih baik antara departemen TI dan bisnis, membantu memastikan bahwa layanan TI selaras dengan tujuan dan kebutuhan bisnis (Hermanto & Mufihah, 2019). Dengan fokus pada peningkatan berkelanjutan, ITIL tidak hanya mendukung operasi TI saat ini tetapi juga menyediakan kerangka kerja untuk adaptasi dan perubahan di masa depan. Sebagai kerangka kerja yang telah teruji waktu, ITIL terus beradaptasi untuk memenuhi tantangan baru dalam manajemen layanan TI, menjadikannya pilihan yang penting bagi organisasi yang ingin mencapai keunggulan operasional dalam layanan TI mereka (Bata, 2017).

IT Governance 29 3. ISO/IEC 27001: ISO/IEC 27001 merupakan standar internasional yang menetapkan persyaratan untuk sistem manajemen keamanan informasi (SMKI) dan merupakan bagian dari keluarga standar ISO/IEC 27000. Standar ini dirancang untuk membantu organisasi mengamankan aset informasi mereka, seperti data keuangan, informasi pribadi karyawan, atau informasi yang dipercayakan kepada mereka oleh pihak ketiga. Pada intinya, ISO/IEC 27001 berkaitan dengan perlindungan tiga aspek kritis informasi: kerahasiaan, integritas, dan ketersediaan. Kerahasiaan menjamin bahwa informasi hanya dapat diakses oleh mereka yang berwenang. Integritas memastikan bahwa informasi akurat dan lengkap, serta dilindungi dari modifikasi yang tidak sah. Ketersediaan berarti informasi harus dapat diakses dan digunakan oleh pengguna yang berwenang ketika dibutuhkan. Penerapan ISO/IEC 27001 membantu organisasi menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara, dan meningkatkan SMKI. Ini adalah proses berkelanjutan yang memerlukan evaluasi dan penyesuaian terhadap praktik keamanan informasi yang ada. Standar ini menggunakan pendekatan risiko berbasis, yang berarti organisasi harus melakukan penilaian risiko dan menerapkan kontrol yang sesuai untuk mengelola atau mengurangi risiko keamanan informasi tersebut. Salah satu elemen kunci dari ISO/IEC 27001 adalah penilaian risiko. Organisasi harus mengidentifikasi aset informasi yang penting, menilai ancaman dan kerentan-

30 IT Governance an terhadap aset-aset tersebut, dan menentukan dampak dari ancaman yang direalisasikan. Berdasarkan penilaian ini, organisasi kemudian memilih kontrol yang sesuai untuk mengatasi risiko tersebut. Kontrol-kontrol ini dapat bersifat teknis, organisasional, atau terkait dengan proses dan prosedur. Standar ISO/IEC 27001 juga menekankan pada pentingnya keterlibatan manajemen. Dukungan dan komitmen dari manajemen puncak adalah krusial untuk implementasi dan pemeliharaan SMKI yang efektif. Manajemen harus secara aktif terlibat dalam penilaian risiko dan pengambilan keputusan terkait dengan keamanan informasi (Culot, Nassimbeni, Podrecca, & Sartor, 2021). Selain meningkatkan keamanan informasi, hal ini juga membantu dalam memenuhi persyaratan kepatuhan regulasi, melindungi reputasi, mengurangi kemungkinan kehilangan data, dan meningkatkan manajemen organisasi. Ini juga dapat memberikan keunggulan kompetitif di pasar, karena semakin banyak pelanggan dan klien yang menyadari pentingnya keamanan informasi (Chazar, 2015). Dalam dunia yang semakin terhubung dan di mana ancaman keamanan siber terus berkembang, standar seperti ISO/IEC 27001 menjadi semakin penting. Standar ini tidak hanya membantu organisasi dalam mengelola keamanan informasi mereka secara efektif tetapi juga menempatkan mereka di jalur yang benar untuk respon yang cepat dan efektif terhadap insiden keamanan. Melalui pendekatan yang komprehensif dan berbasis risiko, ISO/IEC 27001 memberikan kerangka kerja yang kokoh untuk melindungi aset informasi yang paling berharga (Chazar, 2015).

IT Governance 31 4. NIST Cybersecurity Framework NIST Cybersecurity Framework, yang dikembangkan oleh National Institute of Standards and Technology di Amerika Serikat, merupakan panduan komprehensif untuk manajemen risiko keamanan siber. Diperkenalkan pertama kali pada tahun 2014, kerangka kerja ini dirancang untuk membantu organisasi dari segala ukuran dan jenis dalam mengelola dan mengurangi risiko keamanan siber, sambil mendukung dan meningkatkan keamanan nasional dan ekonomi. Kerangka kerja NIST menggabungkan standar, pedoman, dan praktik terbaik yang sudah ada untuk membantu organisasi dalam melindungi infrastruktur kritis mereka. Ini menjadi semakin penting di era digital saat ini, di mana ancaman siber terus berkembang dan menjadi lebih canggih. NIST Cybersecurity Framework memberikan pendekatan yang fleksibel, berulang, dan efektif biaya untuk membantu organisasi melindungi informasi dan sistem mereka. Kerangka kerja ini terdiri dari tiga komponen utama yaitu Core, Profil, dan Implementasi. Core kerangka kerja menyediakan serangkai-an kegiatan keamanan siber yang diorganisir ke dalam lima fungsi utama yaitu Identifikasi, Perlindungan, Deteksi, Respons, dan Pemulihan. Fungsifungsi ini membentuk tulang punggung dari pendekatan proaktif terhadap keamanan siber, memastikan bahwa semua aspek penting dari pengelolaan risiko diidentifikasi dan ditangani (Krumay, Bernroider, & Walser, 2018).

32 IT Governance Fungsi Identifikasi fokus pada pemahaman bisnis dan lingkungan operasional, aset yang perlu dilindungi, dan risiko keamanan siber. Ini adalah langkah pertama yang penting, karena memungkinkan organisasi untuk memprioritaskan sumber dayanya secara efisien. Perlindungan adalah tentang mengembangkan dan menerapkan perlindungan yang tepat untuk memastikan layanan penting tetap aman. Ini mencakup pelatihan kesadaran keamanan, pengelolaan akses, dan prosedur perlindungan data. Implementasi membimbing organisasi dalam mengadopsi kerangka kerja ini secara praktis. Ini memberikan pedoman tentang bagaimana memilih dan memprioritaskan tindakan berdasarkan profil risiko dan sumber daya mereka. Pendekatan NIST Cybersecurity Framework ini berlaku secara universal, baik untuk sektor swasta maupun pemerintah. Penerapannya tidak hanya meningkatkan keamanan siber tetapi juga meningkatkan ketahanan organisasi terhadap insiden keamanan siber. Dengan pendekatannya yang terstruktur namun fleksibel, NIST Cybersecurity Framework menjadi alat penting dalam upaya perlindungan siber di dunia yang semakin terhubung dan rentan terhadap ancaman digital. 5. PRINCE2 PRINCE2, singkatan dari PRojects IN Controlled Environments, adalah metodologi manajemen proyek yang diakui secara global dan banyak digunakan. Metode ini pertama kali dikembangkan oleh pemerintah Inggris dan sekarang dimiliki oleh AXELOS Ltd. PRINCE2 terkenal karena pendekatannya yang terstruktur dan

IT Governance 33 fleksibel terhadap manajemen proyek, menjadikannya pilihan populer di berbagai industri dan organisasi, baik di sektor publik maupun swasta. Inti dari PRINCE2 adalah prinsipnya yang tujuh, yang mencakup berfokus pada bisnis, belajar dari pengalaman, peran dan tanggung jawab yang didefinisikan, manajemen proyek dalam tahapan, pengelolaan produk, adaptasi terhadap lingkungan proyek, dan manajemen berdasarkan pengecualian. Prinsip-prinsip ini memberikan kerangka kerja yang kuat dan fleksibel, memungkinkan manajer proyek untuk menyesuaikan metode tersebut sesuai dengan kebutuhan dan kompleksitas proyek tertentu. Salah satu kekuatan utama dari PRINCE2 adalah struktur manajemen proyeknya yang jelas dan terdefinisi dengan baik. Metodologi ini membagi proyek menjadi tahapan terkelola dan terkontrol, memudahkan manajemen dan pengendalian proyek. Tahapan-tahapan ini biasanya mencakup inisiasi, perencanaan, eksekusi, pengendalian, dan penutupan. Setiap tahap memiliki serangkaian proses dan aktivitas yang harus diselesaikan, yang memastikan bahwa semua aspek proyek dikelola secara efektif. Pendekatan PRINCE2 terhadap manajemen proyek adalah berorientasi pada hasil. Ini berarti bahwa fokus utama adalah pada pengiriman produk yang memenuhi persyaratan yang didefinisikan, dalam batas waktu dan anggaran yang telah ditentukan. Pendekatan ini memungkinkan fleksibilitas dalam cara kerja, tetapi dengan kontrol ketat atas apa yang dihasilkan, memastikan bahwa proyek memberikan nilai bisnis yang diharapkan (Lianying, Jing, & Xinxing, 2012).

34 IT Governance PRINCE2 juga menekankan pada pentingnya adaptasi. Meskipun kerangka kerjanya terstruktur, PRINCE2 dapat diadaptasi untuk proyek dari berbagai ukuran dan kompleksitas. Ini berarti bahwa metode ini dapat diterapkan pada proyek kecil sekalipun, serta proyek besar dan kompleks, dengan penyesuaian yang sesuai. Manajemen berdasarkan pengecualian adalah prinsip lain yang penting dalam PRINCE2. Ini memungkinkan manajer proyek untuk memberikan otonomi kepada tim proyek dalam mengelola proyek pada tingkat operasional, sementara manajer proyek mempertahankan kontrol keseluruhan. Hal ini menciptakan keseimbangan antara otonomi dan kontrol, memungkinkan pengambilan keputusan yang efisien dan efektif. Penggunaan PRINCE2 dalam sebuah organisasi membawa beberapa manfaat. Ini termasuk peningkatan kemungkinan keberhasilan proyek, kontrol yang lebih baik atas sumber daya, manajemen risiko yang efektif, dan peningkatan komunikasi dan pelaporan. Metodologi ini juga memudahkan pemantauan dan pengendalian proyek, serta menyediakan kerangka kerja untuk belajar dari pengalaman setiap proyek. Dengan adanya sertifikasi PRINCE2 yang tersedia, profesional di bidang manajemen proyek dapat menunjukkan keahlian dan pemahaman mereka tentang metode ini. Pelatihan dan sertifikasi ini tidak hanya menguntungkan individu dalam karir mereka tetapi juga membantu organisasi dalam membangun tim manajemen proyek yang kuat dan efektif. Secara keseluruhan, PRINCE2 menawarkan pendekatan yang komprehensif dan terbukti dalam manajemen proyek. Dengan kerangka kerjanya yang fleksibel dan berfokus

IT Governance 35 pada hasil, PRINCE2 terus menjadi pilihan populer di antara manajer proyek di seluruh dunia, memberikan struktur dan proses yang diperlukan untuk mengarahkan proyek dari konsepsi hingga penyelesaian. 6. ISO/IEC 38500 ISO/IEC 38500 adalah standar internasional yang menetapkan prinsip dan model untuk penggunaan yang baik dan efektif dari Teknologi Informasi (TI) dalam organisasi. Dikembangkan oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC), standar ini berfokus pada tata kelola TI yang bertanggung jawab, memberikan kerangka kerja untuk memastikan bahwa TI mendukung tujuan dan strategi bisnis (Calder, 2008). Kunci dari ISO/IEC 38500 adalah enam prinsip tata kelola TI, yang mencakup tanggung jawab, strategi, akuisisi, kinerja, kepatuhan, dan perilaku. Prinsipprinsip ini dirancang untuk membantu para pemimpin dan pengambil keputusan memahami dan memenuhi kewajiban mereka dalam mengelola sumber daya TI. Standar ini tidak hanya menekankan pada teknologi itu sendiri tetapi juga pada cara organisasi menggunakan teknologi untuk mencapai tujuan mereka. Prinsip pertama, tanggung jawab, mengharuskan para pemimpin untuk memahami dan menerima tanggung jawab mereka dalam mengelola TI. Ini melibatkan memastikan bahwa keputusan tentang TI dibuat dengan pertimbangan yang tepat terhadap berbagai faktor, termasuk risiko dan peluang. Strategi, prinsip kedua, menekankan pentingnya menyelaraskan strategi TI dengan strategi bisnis. Ini

36 IT Governance berarti bahwa investasi TI harus mendukung tujuan bisnis organisasi dan membantu mencapai hasil yang diinginkan. Pentingnya pengintegrasian TI dengan keseluruhan strategi bisnis tidak bisa dilebih-lebihkan, karena ini menentukan efektivitas TI dalam memberikan nilai bagi organisasi. Akuisisi adalah prinsip ketiga dan berkaitan dengan proses pengadaan teknologi dan layanan TI. Standar ini menuntut bahwa semua akuisisi TI harus dilakukan dengan pertimbangan penuh terhadap kebutuhan bisnis dan dengan evaluasi yang memadai terhadap opsi yang tersedia. Kinerja, prinsip keempat, berfokus pada pengelolaan efektif sumber daya TI. Ini melibatkan memastikan bahwa TI memberikan hasil sesuai dengan strategi dan investasi yang dilakukan. Pengelolaan kinerja TI yang baik mengharuskan pemantauan yang teratur dan penilaian terhadap kinerja TI untuk memastikan bahwa investasi TI memberikan nilai yang maksimal. Kepatuhan, prinsip kelima, menggarisbawahi pentingnya memastikan bahwa TI patuh terhadap semua hukum, peraturan, dan standar yang berlaku. Ini termasuk kepatuhan terhadap hukum privasi data, keamanan siber, dan peraturan industri lainnya. Kepatuhan ini penting tidak hanya untuk menghindari risiko hukum tetapi juga untuk mempertahankan kepercayaan pemangku kepentingan dan pelanggan (Calder, 2008). Prinsip terakhir, perilaku, berkaitan dengan budaya organisasi dan perilaku individu dalam penggunaan TI. Ini mempromosikan budaya yang etis dan bertanggung jawab dalam penggunaan TI dan menekankan pentingnya menghormati hak dan kepentingan semua pihak yang terlibat. ISO/IEC 38500 tidak hanya

IT Governance 37 memberikan kerangka kerja untuk tata kelola TI yang efektif tetapi juga berfungsi sebagai panduan bagi para pemimpin bisnis dan IT untuk menggunakan TI dengan cara yang paling menguntungkan. Standar ini dapat diterapkan pada organisasi dari semua jenis dan ukuran, memberikan landasan bagi pengambilan keputusan TI yang lebih baik, pengelolaan risiko yang lebih efektif, dan penyelarasan yang lebih baik antara TI dan tujuan bisnis. Dengan menerapkan prinsip-prinsip ISO/IEC 38500, organisasi dapat memastikan bahwa penggunaan TI mereka tidak hanya efisien tetapi juga bertanggung jawab dan berkelanjutan, mendukung keberhasilan jangka panjang organisasi dalam lingkungan yang semakin didigitalisasi.

38 IT Governance IMPLEMENTASI KEBIJAKAN IT ebijakan IT sangat penting karena membantu dalam menentukan dan mengatur penggunaan, manajemen, dan keamanan yang tepat terhadap teknologi informasi di dalam sebuah organisasi. Ini memastikan adanya pedoman dan standar yang jelas untuk melindungi data, mengelola akses, dan menjaga efisiensi keseluruhan sistem IT. Selain itu, kebijakan IT sangat penting dalam mengatasi tantangan keamanan dunia maya yang terus berkembang. Di era di mana ancaman digital dan serangan siber semakin merajalela, memiliki kebijakan IT yang kuat menjadi mekanisme pertahanan fundamental. Dalam ranah inovasi, kebijakan IT menyediakan kerangka kerja untuk mengadopsi teknologi dan praktik baru. Mereka K

IT Governance 39 membimbing organisasi untuk tetap update dengan perkembangan teknologi, mendorong budaya inovasi, dan menempatkan perusahaan secara kompetitif dalam lanskap digital yang dinamis. Sebagai kesimpulan, signifikansi kebijakan IT tidak bisa dianggap remeh. Mereka membentuk dasar lingkungan teknologi yang aman, efisien, dan patuh bagi bisnis. Seiring dengan terus majunya teknologi, kebijakan IT yang terdefinisi dengan baik dan adaptif akan menjadi kunci dalam menavigasi kompleksitas zaman digital dan mendukung pertumbuhan serta kesuksesan organisasi. A. Dasar-Dasar Kebijakan It 1. Pengertian Kebijakan IT Kebijakan IT mengacu pada seperangkat pedoman, aturan, dan protokol yang ditetapkan oleh sebuah organisasi untuk mengatur penggunaan, manajemen, dan keamanan sumber daya teknologi informasi. Kebijakan ini merinci standar dan prosedur yang harus diikuti oleh individu di dalam organisasi saat berinteraksi dengan sistem IT, jaringan, dan data. Tujuan utama dari Kebijakan IT adalah untuk memastikan penggunaan teknologi yang benar dan aman, mengurangi risiko, serta sejalan dengan persyaratan regulasi dan kepatuhan. Selain itu, kebijakan IT memainkan peran krusial dalam melindungi informasi sensitif, mencegah akses yang tidak sah, dan mengatasi berbagai tantangan terkait keamanan cyber. Mereka menyediakan kerangka kerja untuk mengidentifikasi, mengelola, dan menanggapi insiden keamanan, sehingga berkontribusi pada ketahanan keseluruhan infrastruktur digital sebuah organisasi.

40 IT Governance Kebijakan-kelbijakan ini sering mencakup aspekaspek seperti perlindungan data, pengendalian akses, keamanan jaringan, tanggapan terhadap insiden, dan pematuhan terhadap kerangka hukum dan regulasi. Dengan mendefinisikan aturan dan harapan secara jelas seputar penggunaan sumber daya IT, organisasi dapat menciptakan lingkungan yang aman dan terkendali yang mendukung tujuan keseluruhan bisnis. Lebih lanjut, kebijakan IT merupakan dokumen yang dinamis yang sebaiknya secara berkala direview dan diperbarui untuk mencerminkan perubahan dalam teknologi, proses bisnis, dan lanskap ancaman. Fleksibilitas ini memastikan bahwa organisasi tetap tangguh menghadapi tantangan yang berkembang dan dapat memanfaatkan teknologi yang baru muncul dengan keuntungan. 2. Tantangan Dalam Membentuk Kebijakan IT Penggunaan TI meskipun memberikan sejumlah keuntungan, juga membawa sejumlah tantangan yang tidak bisa diabaikan. Salah satu perhatian utama adalah terkait ancaman keamanan siber, terutama mengingat jumlah informasi sensitif yang disimpan dalam sistem digital. Terdapat sejumlah tantangan dalam membentuk kebijakan IT melibatkan: a. Perubahan Teknologi yang Cepat Mengikuti perkembangan teknologi yang berlangsung dengan cepat bisa menjadi tantangan. Memastikan bahwa kebijakan IT tetap relevan dan efektif di tengah inovasi yang terus-menerus merupakan hambatan yang signifikan.