8

Bab 2

LANDASAN TEORI

2.1. Sistem Informasi

2.1.1. Sistem Informasi/Teknologi Informasi Komunikasi

Sistem informasi dapat didefinisikan sebagai kombinasi yang terkoordinasi dari

dari berbagai komponen-komponennya, yaitu manusia, perangkat keras, perangkat

lunak, jaringan komunikasi, sumber data, dan kebijakan serta prosedur, yang

diorganisasikan untuk mengolah (menyimpan, mengambil, mentransformasi dan

menyebarkan) informasi dalam organisasi (O’Brien& Marakas, 2010).Batasan

pengertian ini sesuai dengan pendapat Laudon & Laudon (2012) bahwa sistem

informasi dapat didefinisikan sebagai berikut: satu set komponen-komponen terkait

yang mengumpulkan (atau mengambil), memproses, menyimpan, dan

mendistribusikan informasi untuk mendukung pengambilan keputusan dan kendali

dalam suatu organisasi.

Seperti diuraikan di atas, bahwa komponen sistem informasi antara lain terdiri

dari: perangkat keras peralatan (hardware), perangkat lunak (software), jaringan

(netware), maupun berbagai peralatan infrastruktur bersifat mekanis maupun

elektronis yang secara keseluruhan sering disebut dengan istilah TIK. Jadi TIK adalah

9

komponen sistem informasi yang berwujud hardware, software, netware, dan

infrastructures.

Dengan demikian dapat disimpulkan bahwa sistem informasi adalah kombinasi

antara komponen TIK dan komponen non TIK, berupa: manusia (brainware) dan

sumber data (data resources). Secara visual dapat digambarkan seperti Gambar 2.1

berikut ini:

Gambar 2.1. Komponen Sistem Informasi

Sumber: Introduction to Information System (15th ed.)(O’Brien & Marakas, 2010)

10

2.1.2. Manfaat Implementasi Sistem Informasi/TIK

Sistem informasi dapat memperbaiki pelaksanaan proses bisnis suatu

perusahaan dengan cara mengotomatisasi langkah-langkah yang tadinya dilakukan

secara manual (Laudon & Laudon, 2012). Oleh karena itu, saat ini, sistem

informasitelah digunakan secara meluas dalam suatu perusahaan, pada setiap

tingkatan manajemen, mulai dari manajemen tingkat bawah, hingga manajemen

tingkat atas.Sistem informasi digunakan mulai dari untuk mendukung kegiatan

operasional harian, hingga untuk mendukung pengambilan keputusan yang bersifat

strategis.

Masing-masing tingkatan manajemen melakukan jenis pekerjaan yang

berbeda.Oleh karena itu, peranan sistem informasi untuk masing-masing tingkatan

manajemen, menjadi berbeda.O’Brien & Marakas (2010) telah mengidentifikasi

peranan sistem informasi pada suatu perusahaan, pada Gambar 2.2.berikut ini:

Gambar 2.2. Peranan Sistem Informasi pada Perusahaan

11

Sumber: Introduction to Information System (15th ed.) (O’Brien & Marakas, 2010)

Tampak pada Gambar 2.2.tersebut bahwa tingkatan manajerial dapat

dikelompokkan dalam:

a. Level Manajemen Puncak

Penggunaan sistem informasi adalah untuk mendukung keperluan

pengambilan keputusan yang bersifat strategis, misalnya untuk menentukan

arah dan tujuan perusahaan di masa yang mendatang.

b. Level Manajemen Menengah

Penggunaan sistem informasi adalah untuk mendukung keperluan

pengambilan keputusan bisnis perusahaan.

c. Level Manajemen Operasional

Penggunaan sistem informasi adalah untuk mendukung keperluan

pengambilan keputusan dan kebutuhan informasi untuk operasional harian

perusahaan.

Dari penjelasan di atas, maka dapat disimpulkan bahwa masing-masing

tingkatan manajerial memiliki kebutuhan informasi berbeda.Oleh karena itu, masing-

masing tingkatan manajerial membutuhkan jenis sistem informasi yang berbeda,

sesuai dengan kebutuhannya masing-masing.

12

2.1.3. Implementasi SI/TIK dengan Alih Daya

Investasi sistem informasi/TIK yang kian hari kian bertambah porsinya

membuat perusahaan mencari cara untuk melakukan efisiensi. Selain itu, alokasi

sumber daya bagi TIK, untuk perusahaan yang core business-nya bukan di TIK, tentu

saja harus dilakukan dengan cermat, agar dapat memenuhi persyaratan Tata Kelola

perusahaan yang baik.Jangan sampai alokasi sumber daya di bidang TIK pada

perusahaan tersebut melebihi alokasi sumber daya di bidang yang menjadi core

business perusahaan tersebut.

Salah satu cara yang banyak digunakan oleh perusahaan untuk mensiasati hal

tersebut adalah dengan menyelenggarakan Alih Daya Proses Bisnis. Pada Alih Daya

Proses Bisnis, pelaksanaan Proses Bisnis sebagian atau seluruhnya diselenggarakan

oleh penyedia jasa di luar perusahaan.

Chatterjee (2010) menyatakan bahwa Alih Daya Proses Bisnis dapat dijalankan

pada proses-proses bisnis berikut ini:

a. Product Process

b. Service Process

c. Customer Centric Process

d. Quality Control Process

yang dapat digambarkan sesuai dengan Gambar 2.3.

13

Gambar 2.3. Proses Bisnis Perusahaan

Sumber: Management Information System (Chatterjee, 2010)

 

2.2. Tata Kelola Sistem Informasi/TIK

2.2.1. Pengertian Tata Kelola Sistem Informasi/TIK

IT Governance Institute (2013) mendefinisikan Tata Kelola TIK sebagai

tanggung jawab dari dewan direksi dan manajemen eksekutif, yang merupakan

bagian integral dari tata kelola perusahaan dan terdiri dari: kepemimpinan dan

struktur organisasi dan proses yang memastikan bahwa TIK perusahaan mendukung

dan memperluas strategi dan objektif perusahaan. Sementara Senft & Gallegos (2009)

menyatakan bahwa Tata Kelola TIK menyediakan struktur yang diperlukan untuk

mencapai penyelarasan antara strategi TIK dan strategi bisnis.Sedangkan menurut

Calder & Watkins (2008) Tata Kelola sistem informasi/TIK adalah kerangka kerja

14

untuk leadership (kepemimpinan), struktur organisasi dan proses bisnis; standar dan

kepatuhan terhadap standar-standar kepemimpinan, struktur organisasi dan proses

bisnis; yang menjamin bahwa sistem informasi perusahaan mendukung dan

memungkinkan pencapaian strategi dan tujuan perusahaan tersebut.

Jadi yang dimaksud tata kelola sistem informasi/TIK yang baik adalah

investasi/implementasi dan pengelolaan sistem informasi/TIK yang tepat dan

mendukung pencapaian tujuan bisnis perusahaan.

Menurut Calder & Watkins (2008), terdapat 5 faktor utama pendorong adopsi

strategi Tata Kelola sistem informasi di perusahaan. Faktor-faktor tersebut adalah:

a. Regulasi, seperti: adopsi/implementasi the Combined Code dan the Turnbull

Guidance (bagi perusahaan di Inggris); Sarbanes–Oxley (bagi perusahaan

terbuka di Amerika Serikat); BIS dan Basel 2 untuk bank dan institusi

finansial.

b. Semakin banyaknya nilai modal intelektual yang berada pada keadaan

berisiko.

c. Kebutuhan untuk menyelaraskan projek teknologi dan tujuan strategis

organisasi dan untuk memastikan bahwa projek-projek tersebut

menghasilkan sesuai dengan rencana awal.

d. Semakin meningkatnya ancaman terhadap keamanan TIK yang secara

potensial berdampak negatif pada reputasi, penghasilan dan keuntungan

perusahaan.

15

e. Semakin rumitnya regulasi terkait dengan informasi.

2.2.2. Investasi Sistem Informasi/TIK

Bagi banyak perusahaan, TIK merupakan hal yang penting. Porsi investasi TIK,

dari tahun ke tahun, menjadi semakin besar dalam total investasi sebuah perusahaan.

Laudon & Laudon (2012) menyajikan grafik yang menunjukkan hal tersebut. Adapun

berikut ini adalah grafik yang dimaksud (Gambar 2.4):

Gambar 2.4. Porsi Investasi TIK terhadap Total Investasi

Sumber: Management Information Systems: Managing the Digital Firm (12th ed.)(Laudon & Laudon, 2012)

Kombinasi semakin besarnya porsi investasi TIK terhadap total investasi

perusahaan, semakin mendorong adopsi/implementasi TIK pada perusahaan.

2.2.3. Kerangka Kerja Evaluasi Tata Kelola SI/TIK

Kerangka Kerja Tata Kelola TIK yang banyak digunakansebagai acuan oleh

perusahaan adalah antara lain:

16

a. Control Objective for Information and Related Technology (COBIT)

b. IT Maxims

c. Berbagai kerangka kerja lainnya, seperti: CMMI, ITIL, TOGAF

Untuk keperluan evaluasi, perusahaan melakukan mapping antara kondisi yang

saat ini berlaku pada perusahaan tersebut dengan requirements/panduan yang ada

pada kerangka kerja-kerangka kerja tersebut. Dengan melakukan mapping,

perusahaan akan mengetahui apakah kondisi saat ini sudah comply (memenuhi)

kerangka-kerangka kerja tersebut. Lebih lanjut, beberapa kerangka kerja, seperti:

CMMI, memberikan skala penilaian, sehingga pemenuhan kerangka kerja tersebut

dapat dinilai tingkatnya.

Dengan melakukan evaluasi dan penilaian tersebut, perusahaan dapat

menentukan langkah-langkah yang harus ditempuh untuk memenuhi kerangka kerja

tersebut, jika belum terpenuhi, atau langkah-langkah yang harus ditempuh untuk

mempertahankan pemenuhan kerangka kerja tersebut.

2.3. Manajemen Risiko Perusahaan

2.3.1. Pengertian Manajemen Risiko Perusahaan

Menurut Senft & Gallegos (2009) terdapat hubungan yang erat antara

Manajemen Risiko Perusahaan dan bisnis yang dikelola dengan baik. Senft &

Gallegos (2009) mencontohkan bahwa kejadian-kejadian, seperti: product recall dan

rogue traders, jika tidak dikelola dengan baik dapat menghancurkan perusahaan.

17

Secara historis, manajemen risiko sering kali dilakukan dalam silos, sebagai

contoh: insurance risk, technology risk, financial risk, environmental risk. Senft &

Gallegos (2009) memandang bahwa diperlukan suatu Enterprise Risk Management

yang mengelola risiko perusahaan secara komprehensif.

2.3.2. Risiko Alih Daya Proses Bisnis

Menurut Chatterjee (2010) dalam Alih Daya Proses Bisnis terdapat pengalihan

kepemilikan Proses Bisnis. Hal memiliki pengertian cara Proses Bisnis dilakukan

menjadi tidak didefinisikan oleh pihak pengguna jasa, melainkan oleh pihak pemberi

jasa. Hal ini membuka peluang timbulnya risiko-risiko terkait, seperti: risiko terkait

keamanan dan kelangsungan bisnis setelah dilanda bencana.

2.3.3. BCP/DRP

Dalam penyelenggaraan operasional suatu perusahaan, perusahaan harus

mempertimbangkan risiko-risiko yang ada.Risiko-risiko tersebut harus dikelola

dengan baik, agar risiko tersebut tidak mengancam keberlangsungan bisnis

perusahaan tersebut.Tentu saja jika sebagian atau seluruh proses bisnis perusahaan

dialihdayakan, tidak berarti perusahaan tidak harus mempersiapkan diri dalam

menghadapi/memitigasi risiko yang mungkin timbul. Perusahaan tetap harus

mempersiapkan mitigasi risiko-risiko tersebut.

Salah satu risiko yang mungkin timbul adalah bencana.Untuk memitigasi risiko

tersebut dibutuhkan BCP/DRP, sehingga keberlangsungan bisnis dapat

18

terjaga.BCP/DRP merupakan bagian dari Business Continuity Management

(BCM).Goh (2008) menyatakan bahwa awalnya rencana mitigasi risiko bencana

memiliki fokus pada TIK, sejalan dengan perkembangan kebutuhan, maka mitigasi

risiko bencana mengalami pergeseran fokus, sehingga fokusnya menjadi enterprise

wide, tidak lagi hanya TIK-nya saja.

Berikut ini, Gambar 2.5.adalah ilustrasi pergeseran fokus tersebut.

Gambar 2.5. Pergeseran Fokus Rencana Mitigasi Risiko Bencana

Sumber: Managing Your Business Continuity Planning Project (2nd ed.)(Goh, 2008)

Lebih lanjut, Goh (2008) menyatakan bahwa DRP memiliki fokus pada bagian

TIK, sementara BCP berfokus pada bisnis. Dengan kata lain, DRP merupakan bagian

dari BCP.

19

2.3.4. ISO 22301 – Business Continuity Management

Standar ISO 22301 merupakan standar di bidang Business Continuity

Management System (BCMS).Pada survei yang dilakukan oleh Business Continuity

Institute (BCI, 2012), 85% dari 613 responden yang berasal dari 60 negara,

menyatakan bahwa standar ISO 22301 dapat menyediakan common language dalam

menjalankan proses BCMS, antara pelanggan, suplier dan untuk keperluan internal.

Standar ISO 22301 dikembangkan dari BS 25999-2 (Sharp, 2012).Oleh karena

itu, tidak aneh jika antara kedua standar tersebut terdapat beberapa persamaan.

Berikut ini adalah mapping antara standar BS 25999-2 dengan standar ISO 22301:

Tabel 2.1. Perbandingan Antara BS 25999-2 dan ISO 22301

Sumber: Moving from BS 25999-2 to ISO 22301: The New International Standard for Business Continuity Management System (Sharp, 2012)

20

21

22

Namun tentu saja, sebagai suatu upaya perbaikan dan penyempurnaan, ISO

22301 memperkenalkan konsep-konsep baru. Berikut ini adalah konsep-konsep baru

tersebut:

Tabel 2.2. Konsep Baru pada ISO 22301

Sumber: Moving from BS 25999-2 to ISO 22301: The New International Standard for Business Continuity Management System (Sharp, 2012)

Standar ISO 22301 mengidentifikasi dasar-dasar sistem manajemen

kelangsungan bisnis, membangun proses, prinsip dan terminologi

manajemen kontinuitas bisnis. Standar ini antara lain, bertujuan untuk dapat

memberikan dasar acuan bagi suatu perusahaan atau organisasi, agar dapat

memahami, mengembangkan dan menerapkan manajemen kelangsungan bisnis pada

suatu organisasi, sehingga dapat memberikan keyakinan kepada seluruh stakeholder

perusahaan atau organisasi bahwa perusahaan atau organisasi tersebut dapat terus

beroperasi walaupun sedang mengalami keadaan bencana.

23

Berikut ini adalah komponen-komponen yang menyusunBCMS:

a. Policy (Kebijakan)

b. People (Manusia) dengan tanggung jawab terdefinisi.

c. Proses Pengelolaan yang berkaitan dengan:

1. Policy

2. Planning

3. Implementation and Operation

4. Performance Assessment

5. Management Review

6. Improvement

d. Dokumentasi yang menyediakan bukti yang dapat diaudit

e. Proses pengelolaan kelangsungan bisnis lain yang relevan untuk perusahaan

tersebut.

Standar ISO 22301 juga mengikuti pola PDCA (Plan-Do-Check-Act) yang

merupakan standar pola ISO.Secara lebih spesifik, pola PDCA pada ISO 22301

digambarkan pada Gambar 2.6.berikut ini:

24

Gambar 2.6. Model PDCA pada ISO 22301

Sumber: ISO 22301: Societal security -- Business continuity management systems --- Requirements (ISO, 2012)

Berikut ini adalah penjelasan terkait model PDCA pada ISO 22301:

a. Plan(Establish)

Menetapkan kebijakan , tujuan, sasaran, kontrol, proses dan prosedur

Keberlangsungan bisnis yang relevan untuk meningkatkan kelangsungan

bisnis agar dapat memberikan hasil yang selaras dengan kebijakan

organisasi secara keseluruhan dan tujuannya

b. Do(Implement and Operate)

Menerapkan dan mengoperasikan kebijakan, kontrol, proses dan prosedur

kelangsungan bisnis.

25

c. Check(Monitor and Review)

Memantau dan menilai kinerja terhadap kebijakan dan tujuan kelangsungan

bisnis, melaporkan hasilnya kepada manajemen untuk ditinjau, dan

menentukan serta mengotorisasi tindakan untuk remediasi dan perbaikan.

d. Act(Maintain and Improve)

Memelihara dan meningkatkan BCMS dengan mengambil tindakan

korektif, berdasarkan hasil tinjauan manajemen dan menilai kembali lingkup

BCMS serta kebijakan dan tujuan kelangsungan bisnis.

Standar ISO 22301 terdiri dari klausul-klausul berikut:

a. Clause 1: Scope

Klausul ini mendefinisikan ruang lingkup dari standar ISO 22301.Ruang

lingkup dari standar ISO 22301 adalah untuk mengimplementasikan dan

memperbaiki sebuah Business Continuity Management System

(BCMS).Penulis standar ini ingin memastikan bahwa standar ini dapat

diberlakukan pada seluruh organisasi, dengan tidak memandang letak

geografi, ukuran ataupun tujuan organisasi.

b. Clause 2: Normative References

Klausul ini seharusnya mendefinisikan daftar dokumen yang menjadi

referensi agar standar ini dapat dipahami dengan baik.Pada standar ISO 22301

tidak memiliki normative references.Klausul ini ada untuk memenuhi standar

dokumen ISO.

26

c. Clause 3: Terms and Definitions

Klausul ini mendefinisikan seluruh istilah yang digunakan pada standar ISO

22301.Pada ISO 22301 terdapat definisi untuk 55 istilah.

d. Clause 4: Context of the organization

Klausul ini berisi tentang persyaratan-persyaratan yang dibutuhkan untuk

membangun konteks BCMS pada suatu organisasi, terkait dengan kebutuhan,

persyaratan dan ruang lingkup BCMS tersebut. Untuk memenuhi ISO 22301,

suatu organisasi harus mendokumentasikan risk apetite yang dimilikinya.

ISO 22301 mengharuskan suatu organisasi mendefinisikan apa saja yang

termasuk di dalam BCMS dan apa saja yang tidak termasuk pada lingkup

BCMS. Selain itu, ruang lingkup BCMS harus dikomunikasikan dengan baik

pada seluruh pihak terkait, baik pihak internal, ataupun pihak eksternal.

e. Clause 5: Leadership

Klausul ini berisi tentang ringkasan persyaratan-persyaratan yang terutama

ditujukan bagi top management.Top management harus memastikan bahwa

BCMS sejalan dengan arahan strategis organisasi dan terintegrasi pada proses

bisnis perusahaan, serta mengkomunikasikan pentingnya BCMS yang efektif

dan pemenuhan persyaratan-persyaratan BCMS. Klausul ini juga

mengharuskan top management menunjuk suatu pihak yang bertanggung

jawab terhadap pembentukan, implementasi dan pemantauan BCMS

organisasi.

27

f. Clause 6: Planning

Klausul ini berisi tentang kebutuhan untuk membentuk/membuat objektif-

objektif stategis dan prinsip pemandu yang akan digunakan pada BCMS.

Klausul ini mengharuskan organisasi untuk mengatasi ancaman, jika

seandainya BCMS tidak dapat/berhasil dibuat, diimplementasikan dan

dipantau dengan baik, termasuk di dalamnya hambatan-hambatan yang

mungkin ditemui, baik dari internal/eksternal, yang mungkin akan

mengakibatkan ketidakefektifan BCMS.

Klausul ini mewajibkan sebuah organisasi untuk mendefinisikan secara jelas

objektif bisnisnya dan memiliki rencana untuk mencapainya.Objektif-objektif

ini harus terintegrasi dengan kebijakan BCM dan terukur.

g. Clause 7: Support

Klausul ini menjelaskan supports (dukungan-dukungan) yang dibutuhkan

untuk membuat, mengimplementasikan dan memantau BCMS yang efektif.

Hal ini meliputi sumber daya yang dibutuhkan, kompetensi pihak-pihak

terkait, kesadaran dan keterlibatan pihak-pihak terkait, dan persyaratan

manajemen dokumen terkait.

h. Clause 8: Operation

Secara umum klausul ini menjelaskan proses pembuatan BCMS, mulai dari

Business Impact Analysis, pembuatan prosedur keberlangsungan bisnis yang

juga meliputi protokol komunikasi internal/eksternal, dan proses pengujian

BCMS tersebut.

28

i. Clause 9: Performance evaluation

Klausul ini menjelaskan bahwa proses pemantauan, pengukuran dan evaluasi

BCMS merupakan input untuk keperluan tinjauan manajemen. Selain itu,

hasil tinjauan manajemen harus dikomunikasikan kepada pihak-pihak yang

terkait.

j. Clause 10: Improvement

Klausul ini menjelaskan bahwa tindakan-tindakan korektif dan preventif yang

sudah dijalankan sebelumnya dan sudah diimplementasikan dan di-review

pada klausul-klausul sebelumnya, harus dipastikan diimplementasikan pada

BCMS.

dalam kaitan dengan model PDCA di atas, maka:

a. Plan, terdiri dari Clause 4, Clause 5, Clause 6, dan Clause 7

b. Do, terdiri dari Clause 8

c. Check, terdiri dari Clause 9

d. Act, terdiri dari Clause 10