Tata kelola teknologi informasi (Bahasa Inggris: IT governance) adalah suatu cabang dari tata kelola perusahaan yang terfokus pada sistem teknologi informasi (TI) serta manajemen kinerja dan risikonya. Meningkatnya minat pada tata kelola TI sebagian besar muncul karena adanya prakarsa kepatuhan (seperti Sarbanes-Oxley di Amerika Serikat dan Basel II di Eropa) serta semakin diakuinya kemudahan proyek TI terhadap kinerja suatu organisasi.
Tema utama diskusi tata kelola TI adalah bahwa teknologi informasi tidak bisa lagi menjadi suatu kotak hitam. Secara tradisional, penanganan pengambilan keputusan kunci di bidang teknologi informasi diberikan kepada para profesional TI karena keterbatasan pengalaman teknis eksekutif lain di tingkatan direksi perusahaan serta karena kompleksitas sistem TI itu sendiri. Tata kelola TI membangun suatu sistem yang semua pemangku kepentingannya, termasuk direksi dan komisaris serta pengguna internal dan bagian terkait seperti keuangan, dapat memberikan masukan yang diperlukan untuk proses pengambilan keputusan. Hal ini mencegah satu pihak tertentu, biasanya TI, disalahkan untuk suatu keputusan yang salah. Hal ini juga mencegah munculnya keluhan dari pengguna di belakang hari mengenai sistem yang tak memberikan hasil atau kinerja sesuai yang diharapkan.
Apa itu Tata Kelola Teknologi Informasi (IT Governance)?
Tata kelola teknologi informasi menyediakan struktur untuk menyelaraskan strategi terknologi informasi dengan strategi bisnis. Dengan mengikuti kerangka kerja formal, organisasi dapat mengukur hasil untuk mencapai strategi dan tujuan organisasi. Dengan mempertimbangkan stakeholders’ interests, serta kebutuhan karyawan dan proses yang diikuti. Dalam gambaran besar, tata kelola TI merupakan integral dari keseluruhan tata kelola perusahaan.
Mengapa organisasi harus mengimplementasi tata kelola IT?
Organisasi saat ini patuh pada peraturan yang mengatur perlindungan informasi, akuntabilitas keuangan, retensi data, pemulihan bencana, dan lain sebagainya. Juga adanya tuntutan dari shareholders, stakeholders and customers.
Untuk memastikan mereka memenuhi persyaratan internal dan eksternal, banyak organisasi menerapkan program tata kelola teknologi informasi yang menyediakan kerangka kerja praktik dan kontrol terbaik.
Organisasi seperti apa yang menerapkan tata kelola teknologi informasi?
Organisasi sektor publik dan swasta perlu cara untuk memastikan bahwa fungsi IT mereka mendukung strategi dan tujuan bisnis. Program tata kelola teknologi informasi harus berada dalam lingkup organisasi mana pun dan jenis industri apa pun. Keduanya perlu mematuhi peraturan yang terkait dengan akuntabilitas keuangan dan teknologi. Namun, dalam menerapkan program tata kelola teknologi informasi yang komprehensif membutuhkan banyak waktu dan upaya.
Bagaimana Anda menerapkan program tata kelola teknologi informasi?
Cara termudah adalah memulai dengan kerangka kerja yang telah dibuat oleh pakar industri dan digunakan oleh ribuan organisasi. Banyak kerangka kerja termasuk panduan implementasi untuk membantu fase organisasi dalam program tata kelola teknologi informasi.
Baca Juga:
- Framework COBIT Sebagai Pengendali Perusahaan
- Bagaimana Penanganan Inventaris Aset Menurut Menurut ISO 27001:2013
Kerangka kerja yang biasa digunakan adalah:
- COBIT: Diterbitkan oleh ISACA, COBIT adalah kerangka kerja komprehensif “secara global telah menerima praktik, analytical tools and models” yang dirancang untuk tata kelola dan pengelolaan TI perusahaan. Dengan dasar dalam audit TI, ISACA memperluas lingkup COBIT selama bertahun-tahun untuk mendukung tata kelola TI. Versi terbaru adalah COBIT 5, yang banyak digunakan oleh organisasi dan berfokus pada manajemen risiko dan mitigasi.
- ITIL: Merupakan singkatan dari Information Technology Infrastructure Library, ITIL berfokus pada manajemen layanan TI. Bertujuan untuk memastikan bahwa layanan TI mendukung proses utama bisnis. ITIL terdiri dari lima praktik terbaik manajemen untuk strategi layanan, desain, transisi (seperti change management), operation dan operation and continual service improvement.
- COSO: Model ini digunakan untuk mengevaluasi pengendalian internal dari Committee of Sponsoring Organizations of the Treadway Commission (COSO). COSO tidak hanya terfokus pada layanan TI inilah yang membedakan COSO dengan kerangka kerja lainnya, ia lebih terfokus pada aspek bisnis seperti manajemen risiko perusahaan (ERM) dan fraud deterrence.
- CMMI: Capability Maturity Model Integration, yang dikembangkan oleh Software Engineering Institute, adalah pendekatan untuk peningkatan kinerja. CMMI menggunakan skala 1 hingga 5 untuk mengukur kinerja organisasi, kualitas dan tingkat kematangan profitabilitas. Menurut Calatayud, “memungkinkan untuk mengkolaborasikan mode dan pengukuran obyektif untuk digabungkan dalam mengukur risiko yang sifatnya kualitatif.”
- FAIR: Factor Analysis of Information Risk (FAIR) adalah model yang relatif baru bertujuan untuk membantu organisasi dalam mengukur risiko. Fokusnya adalah pada cyber security dan operational risk, dengan tujuan untuk membuat keputusan yang lebih tepat.
Bagaimana organisasi memilih kerangka kerja yang akan digunakan?
Kebanyakan kerangka kerja tata kelola TI dirancang untuk membantu Anda menentukan bagaimana divisi TI berfungsi secara keseluruhan, apa yang dibutuhkan oleh manajemen.
Di mana COBIT dan COSO digunakan terutama untuk manajemen risiko, ITIL mendukung layanan dan operasi bisnis.
Meskipun CMMI awalnya ditujukan untuk rekayasa perangkat lunak, sekarang CMMI digunakan untuk proses pengembangan perangkat keras, pengiriman dan pembelian layanan. Seperti disebutkan sebelumnya, FAIR secara sejatinya untuk menilai cyber security risks.
Saat meninjau kerangka kerja, pertimbangkan budaya perusahaan Anda. Apakah kerangka kerja atau model tertentu cocok untuk organisasi Anda? Apakah sesuai dengan arahan para pemangku kepentingan? Bisa jadi kerangka kerja tersebut menjadi pilihan terbaik.
Tetapi tentu saja Anda dapat memilih menerapkan lebih dari satu kerangka kerja. Sebagai contoh, penerapan COBIT dan ITIL. Beberapa organisasi telah menggunakan COBIT dan COSO, bersama dengan standar ISO 27001 (untuk mengelola keamanan informasi).
