bab 2 landasan teori - library.binus.ac.idlibrary.binus.ac.id/ecolls/ethesisdoc/bab2/tsa-2014-0030...
TRANSCRIPT
8
Bab 2
LANDASAN TEORI
2.1. Sistem Informasi
2.1.1. Sistem Informasi/Teknologi Informasi Komunikasi
Sistem informasi dapat didefinisikan sebagai kombinasi yang terkoordinasi dari
dari berbagai komponen-komponennya, yaitu manusia, perangkat keras, perangkat
lunak, jaringan komunikasi, sumber data, dan kebijakan serta prosedur, yang
diorganisasikan untuk mengolah (menyimpan, mengambil, mentransformasi dan
menyebarkan) informasi dalam organisasi (O’Brien& Marakas, 2010).Batasan
pengertian ini sesuai dengan pendapat Laudon & Laudon (2012) bahwa sistem
informasi dapat didefinisikan sebagai berikut: satu set komponen-komponen terkait
yang mengumpulkan (atau mengambil), memproses, menyimpan, dan
mendistribusikan informasi untuk mendukung pengambilan keputusan dan kendali
dalam suatu organisasi.
Seperti diuraikan di atas, bahwa komponen sistem informasi antara lain terdiri
dari: perangkat keras peralatan (hardware), perangkat lunak (software), jaringan
(netware), maupun berbagai peralatan infrastruktur bersifat mekanis maupun
elektronis yang secara keseluruhan sering disebut dengan istilah TIK. Jadi TIK adalah
9
komponen sistem informasi yang berwujud hardware, software, netware, dan
infrastructures.
Dengan demikian dapat disimpulkan bahwa sistem informasi adalah kombinasi
antara komponen TIK dan komponen non TIK, berupa: manusia (brainware) dan
sumber data (data resources). Secara visual dapat digambarkan seperti Gambar 2.1
berikut ini:
Gambar 2.1. Komponen Sistem Informasi
Sumber: Introduction to Information System (15th ed.)(O’Brien & Marakas, 2010)
10
2.1.2. Manfaat Implementasi Sistem Informasi/TIK
Sistem informasi dapat memperbaiki pelaksanaan proses bisnis suatu
perusahaan dengan cara mengotomatisasi langkah-langkah yang tadinya dilakukan
secara manual (Laudon & Laudon, 2012). Oleh karena itu, saat ini, sistem
informasitelah digunakan secara meluas dalam suatu perusahaan, pada setiap
tingkatan manajemen, mulai dari manajemen tingkat bawah, hingga manajemen
tingkat atas.Sistem informasi digunakan mulai dari untuk mendukung kegiatan
operasional harian, hingga untuk mendukung pengambilan keputusan yang bersifat
strategis.
Masing-masing tingkatan manajemen melakukan jenis pekerjaan yang
berbeda.Oleh karena itu, peranan sistem informasi untuk masing-masing tingkatan
manajemen, menjadi berbeda.O’Brien & Marakas (2010) telah mengidentifikasi
peranan sistem informasi pada suatu perusahaan, pada Gambar 2.2.berikut ini:
Gambar 2.2. Peranan Sistem Informasi pada Perusahaan
11
Sumber: Introduction to Information System (15th ed.) (O’Brien & Marakas, 2010)
Tampak pada Gambar 2.2.tersebut bahwa tingkatan manajerial dapat
dikelompokkan dalam:
a. Level Manajemen Puncak
Penggunaan sistem informasi adalah untuk mendukung keperluan
pengambilan keputusan yang bersifat strategis, misalnya untuk menentukan
arah dan tujuan perusahaan di masa yang mendatang.
b. Level Manajemen Menengah
Penggunaan sistem informasi adalah untuk mendukung keperluan
pengambilan keputusan bisnis perusahaan.
c. Level Manajemen Operasional
Penggunaan sistem informasi adalah untuk mendukung keperluan
pengambilan keputusan dan kebutuhan informasi untuk operasional harian
perusahaan.
Dari penjelasan di atas, maka dapat disimpulkan bahwa masing-masing
tingkatan manajerial memiliki kebutuhan informasi berbeda.Oleh karena itu, masing-
masing tingkatan manajerial membutuhkan jenis sistem informasi yang berbeda,
sesuai dengan kebutuhannya masing-masing.
12
2.1.3. Implementasi SI/TIK dengan Alih Daya
Investasi sistem informasi/TIK yang kian hari kian bertambah porsinya
membuat perusahaan mencari cara untuk melakukan efisiensi. Selain itu, alokasi
sumber daya bagi TIK, untuk perusahaan yang core business-nya bukan di TIK, tentu
saja harus dilakukan dengan cermat, agar dapat memenuhi persyaratan Tata Kelola
perusahaan yang baik.Jangan sampai alokasi sumber daya di bidang TIK pada
perusahaan tersebut melebihi alokasi sumber daya di bidang yang menjadi core
business perusahaan tersebut.
Salah satu cara yang banyak digunakan oleh perusahaan untuk mensiasati hal
tersebut adalah dengan menyelenggarakan Alih Daya Proses Bisnis. Pada Alih Daya
Proses Bisnis, pelaksanaan Proses Bisnis sebagian atau seluruhnya diselenggarakan
oleh penyedia jasa di luar perusahaan.
Chatterjee (2010) menyatakan bahwa Alih Daya Proses Bisnis dapat dijalankan
pada proses-proses bisnis berikut ini:
a. Product Process
b. Service Process
c. Customer Centric Process
d. Quality Control Process
yang dapat digambarkan sesuai dengan Gambar 2.3.
13
Gambar 2.3. Proses Bisnis Perusahaan
Sumber: Management Information System (Chatterjee, 2010)
2.2. Tata Kelola Sistem Informasi/TIK
2.2.1. Pengertian Tata Kelola Sistem Informasi/TIK
IT Governance Institute (2013) mendefinisikan Tata Kelola TIK sebagai
tanggung jawab dari dewan direksi dan manajemen eksekutif, yang merupakan
bagian integral dari tata kelola perusahaan dan terdiri dari: kepemimpinan dan
struktur organisasi dan proses yang memastikan bahwa TIK perusahaan mendukung
dan memperluas strategi dan objektif perusahaan. Sementara Senft & Gallegos (2009)
menyatakan bahwa Tata Kelola TIK menyediakan struktur yang diperlukan untuk
mencapai penyelarasan antara strategi TIK dan strategi bisnis.Sedangkan menurut
Calder & Watkins (2008) Tata Kelola sistem informasi/TIK adalah kerangka kerja
14
untuk leadership (kepemimpinan), struktur organisasi dan proses bisnis; standar dan
kepatuhan terhadap standar-standar kepemimpinan, struktur organisasi dan proses
bisnis; yang menjamin bahwa sistem informasi perusahaan mendukung dan
memungkinkan pencapaian strategi dan tujuan perusahaan tersebut.
Jadi yang dimaksud tata kelola sistem informasi/TIK yang baik adalah
investasi/implementasi dan pengelolaan sistem informasi/TIK yang tepat dan
mendukung pencapaian tujuan bisnis perusahaan.
Menurut Calder & Watkins (2008), terdapat 5 faktor utama pendorong adopsi
strategi Tata Kelola sistem informasi di perusahaan. Faktor-faktor tersebut adalah:
a. Regulasi, seperti: adopsi/implementasi the Combined Code dan the Turnbull
Guidance (bagi perusahaan di Inggris); Sarbanes–Oxley (bagi perusahaan
terbuka di Amerika Serikat); BIS dan Basel 2 untuk bank dan institusi
finansial.
b. Semakin banyaknya nilai modal intelektual yang berada pada keadaan
berisiko.
c. Kebutuhan untuk menyelaraskan projek teknologi dan tujuan strategis
organisasi dan untuk memastikan bahwa projek-projek tersebut
menghasilkan sesuai dengan rencana awal.
d. Semakin meningkatnya ancaman terhadap keamanan TIK yang secara
potensial berdampak negatif pada reputasi, penghasilan dan keuntungan
perusahaan.
15
e. Semakin rumitnya regulasi terkait dengan informasi.
2.2.2. Investasi Sistem Informasi/TIK
Bagi banyak perusahaan, TIK merupakan hal yang penting. Porsi investasi TIK,
dari tahun ke tahun, menjadi semakin besar dalam total investasi sebuah perusahaan.
Laudon & Laudon (2012) menyajikan grafik yang menunjukkan hal tersebut. Adapun
berikut ini adalah grafik yang dimaksud (Gambar 2.4):
Gambar 2.4. Porsi Investasi TIK terhadap Total Investasi
Sumber: Management Information Systems: Managing the Digital Firm (12th ed.)(Laudon & Laudon, 2012)
Kombinasi semakin besarnya porsi investasi TIK terhadap total investasi
perusahaan, semakin mendorong adopsi/implementasi TIK pada perusahaan.
2.2.3. Kerangka Kerja Evaluasi Tata Kelola SI/TIK
Kerangka Kerja Tata Kelola TIK yang banyak digunakansebagai acuan oleh
perusahaan adalah antara lain:
16
a. Control Objective for Information and Related Technology (COBIT)
b. IT Maxims
c. Berbagai kerangka kerja lainnya, seperti: CMMI, ITIL, TOGAF
Untuk keperluan evaluasi, perusahaan melakukan mapping antara kondisi yang
saat ini berlaku pada perusahaan tersebut dengan requirements/panduan yang ada
pada kerangka kerja-kerangka kerja tersebut. Dengan melakukan mapping,
perusahaan akan mengetahui apakah kondisi saat ini sudah comply (memenuhi)
kerangka-kerangka kerja tersebut. Lebih lanjut, beberapa kerangka kerja, seperti:
CMMI, memberikan skala penilaian, sehingga pemenuhan kerangka kerja tersebut
dapat dinilai tingkatnya.
Dengan melakukan evaluasi dan penilaian tersebut, perusahaan dapat
menentukan langkah-langkah yang harus ditempuh untuk memenuhi kerangka kerja
tersebut, jika belum terpenuhi, atau langkah-langkah yang harus ditempuh untuk
mempertahankan pemenuhan kerangka kerja tersebut.
2.3. Manajemen Risiko Perusahaan
2.3.1. Pengertian Manajemen Risiko Perusahaan
Menurut Senft & Gallegos (2009) terdapat hubungan yang erat antara
Manajemen Risiko Perusahaan dan bisnis yang dikelola dengan baik. Senft &
Gallegos (2009) mencontohkan bahwa kejadian-kejadian, seperti: product recall dan
rogue traders, jika tidak dikelola dengan baik dapat menghancurkan perusahaan.
17
Secara historis, manajemen risiko sering kali dilakukan dalam silos, sebagai
contoh: insurance risk, technology risk, financial risk, environmental risk. Senft &
Gallegos (2009) memandang bahwa diperlukan suatu Enterprise Risk Management
yang mengelola risiko perusahaan secara komprehensif.
2.3.2. Risiko Alih Daya Proses Bisnis
Menurut Chatterjee (2010) dalam Alih Daya Proses Bisnis terdapat pengalihan
kepemilikan Proses Bisnis. Hal memiliki pengertian cara Proses Bisnis dilakukan
menjadi tidak didefinisikan oleh pihak pengguna jasa, melainkan oleh pihak pemberi
jasa. Hal ini membuka peluang timbulnya risiko-risiko terkait, seperti: risiko terkait
keamanan dan kelangsungan bisnis setelah dilanda bencana.
2.3.3. BCP/DRP
Dalam penyelenggaraan operasional suatu perusahaan, perusahaan harus
mempertimbangkan risiko-risiko yang ada.Risiko-risiko tersebut harus dikelola
dengan baik, agar risiko tersebut tidak mengancam keberlangsungan bisnis
perusahaan tersebut.Tentu saja jika sebagian atau seluruh proses bisnis perusahaan
dialihdayakan, tidak berarti perusahaan tidak harus mempersiapkan diri dalam
menghadapi/memitigasi risiko yang mungkin timbul. Perusahaan tetap harus
mempersiapkan mitigasi risiko-risiko tersebut.
Salah satu risiko yang mungkin timbul adalah bencana.Untuk memitigasi risiko
tersebut dibutuhkan BCP/DRP, sehingga keberlangsungan bisnis dapat
18
terjaga.BCP/DRP merupakan bagian dari Business Continuity Management
(BCM).Goh (2008) menyatakan bahwa awalnya rencana mitigasi risiko bencana
memiliki fokus pada TIK, sejalan dengan perkembangan kebutuhan, maka mitigasi
risiko bencana mengalami pergeseran fokus, sehingga fokusnya menjadi enterprise
wide, tidak lagi hanya TIK-nya saja.
Berikut ini, Gambar 2.5.adalah ilustrasi pergeseran fokus tersebut.
Gambar 2.5. Pergeseran Fokus Rencana Mitigasi Risiko Bencana
Sumber: Managing Your Business Continuity Planning Project (2nd ed.)(Goh, 2008)
Lebih lanjut, Goh (2008) menyatakan bahwa DRP memiliki fokus pada bagian
TIK, sementara BCP berfokus pada bisnis. Dengan kata lain, DRP merupakan bagian
dari BCP.
19
2.3.4. ISO 22301 – Business Continuity Management
Standar ISO 22301 merupakan standar di bidang Business Continuity
Management System (BCMS).Pada survei yang dilakukan oleh Business Continuity
Institute (BCI, 2012), 85% dari 613 responden yang berasal dari 60 negara,
menyatakan bahwa standar ISO 22301 dapat menyediakan common language dalam
menjalankan proses BCMS, antara pelanggan, suplier dan untuk keperluan internal.
Standar ISO 22301 dikembangkan dari BS 25999-2 (Sharp, 2012).Oleh karena
itu, tidak aneh jika antara kedua standar tersebut terdapat beberapa persamaan.
Berikut ini adalah mapping antara standar BS 25999-2 dengan standar ISO 22301:
Tabel 2.1. Perbandingan Antara BS 25999-2 dan ISO 22301
Sumber: Moving from BS 25999-2 to ISO 22301: The New International Standard for Business Continuity Management System (Sharp, 2012)
20
21
22
Namun tentu saja, sebagai suatu upaya perbaikan dan penyempurnaan, ISO
22301 memperkenalkan konsep-konsep baru. Berikut ini adalah konsep-konsep baru
tersebut:
Tabel 2.2. Konsep Baru pada ISO 22301
Sumber: Moving from BS 25999-2 to ISO 22301: The New International Standard for Business Continuity Management System (Sharp, 2012)
Standar ISO 22301 mengidentifikasi dasar-dasar sistem manajemen
kelangsungan bisnis, membangun proses, prinsip dan terminologi
manajemen kontinuitas bisnis. Standar ini antara lain, bertujuan untuk dapat
memberikan dasar acuan bagi suatu perusahaan atau organisasi, agar dapat
memahami, mengembangkan dan menerapkan manajemen kelangsungan bisnis pada
suatu organisasi, sehingga dapat memberikan keyakinan kepada seluruh stakeholder
perusahaan atau organisasi bahwa perusahaan atau organisasi tersebut dapat terus
beroperasi walaupun sedang mengalami keadaan bencana.
23
Berikut ini adalah komponen-komponen yang menyusunBCMS:
a. Policy (Kebijakan)
b. People (Manusia) dengan tanggung jawab terdefinisi.
c. Proses Pengelolaan yang berkaitan dengan:
1. Policy
2. Planning
3. Implementation and Operation
4. Performance Assessment
5. Management Review
6. Improvement
d. Dokumentasi yang menyediakan bukti yang dapat diaudit
e. Proses pengelolaan kelangsungan bisnis lain yang relevan untuk perusahaan
tersebut.
Standar ISO 22301 juga mengikuti pola PDCA (Plan-Do-Check-Act) yang
merupakan standar pola ISO.Secara lebih spesifik, pola PDCA pada ISO 22301
digambarkan pada Gambar 2.6.berikut ini:
24
Gambar 2.6. Model PDCA pada ISO 22301
Sumber: ISO 22301: Societal security -- Business continuity management systems --- Requirements (ISO, 2012)
Berikut ini adalah penjelasan terkait model PDCA pada ISO 22301:
a. Plan(Establish)
Menetapkan kebijakan , tujuan, sasaran, kontrol, proses dan prosedur
Keberlangsungan bisnis yang relevan untuk meningkatkan kelangsungan
bisnis agar dapat memberikan hasil yang selaras dengan kebijakan
organisasi secara keseluruhan dan tujuannya
b. Do(Implement and Operate)
Menerapkan dan mengoperasikan kebijakan, kontrol, proses dan prosedur
kelangsungan bisnis.
25
c. Check(Monitor and Review)
Memantau dan menilai kinerja terhadap kebijakan dan tujuan kelangsungan
bisnis, melaporkan hasilnya kepada manajemen untuk ditinjau, dan
menentukan serta mengotorisasi tindakan untuk remediasi dan perbaikan.
d. Act(Maintain and Improve)
Memelihara dan meningkatkan BCMS dengan mengambil tindakan
korektif, berdasarkan hasil tinjauan manajemen dan menilai kembali lingkup
BCMS serta kebijakan dan tujuan kelangsungan bisnis.
Standar ISO 22301 terdiri dari klausul-klausul berikut:
a. Clause 1: Scope
Klausul ini mendefinisikan ruang lingkup dari standar ISO 22301.Ruang
lingkup dari standar ISO 22301 adalah untuk mengimplementasikan dan
memperbaiki sebuah Business Continuity Management System
(BCMS).Penulis standar ini ingin memastikan bahwa standar ini dapat
diberlakukan pada seluruh organisasi, dengan tidak memandang letak
geografi, ukuran ataupun tujuan organisasi.
b. Clause 2: Normative References
Klausul ini seharusnya mendefinisikan daftar dokumen yang menjadi
referensi agar standar ini dapat dipahami dengan baik.Pada standar ISO 22301
tidak memiliki normative references.Klausul ini ada untuk memenuhi standar
dokumen ISO.
26
c. Clause 3: Terms and Definitions
Klausul ini mendefinisikan seluruh istilah yang digunakan pada standar ISO
22301.Pada ISO 22301 terdapat definisi untuk 55 istilah.
d. Clause 4: Context of the organization
Klausul ini berisi tentang persyaratan-persyaratan yang dibutuhkan untuk
membangun konteks BCMS pada suatu organisasi, terkait dengan kebutuhan,
persyaratan dan ruang lingkup BCMS tersebut. Untuk memenuhi ISO 22301,
suatu organisasi harus mendokumentasikan risk apetite yang dimilikinya.
ISO 22301 mengharuskan suatu organisasi mendefinisikan apa saja yang
termasuk di dalam BCMS dan apa saja yang tidak termasuk pada lingkup
BCMS. Selain itu, ruang lingkup BCMS harus dikomunikasikan dengan baik
pada seluruh pihak terkait, baik pihak internal, ataupun pihak eksternal.
e. Clause 5: Leadership
Klausul ini berisi tentang ringkasan persyaratan-persyaratan yang terutama
ditujukan bagi top management.Top management harus memastikan bahwa
BCMS sejalan dengan arahan strategis organisasi dan terintegrasi pada proses
bisnis perusahaan, serta mengkomunikasikan pentingnya BCMS yang efektif
dan pemenuhan persyaratan-persyaratan BCMS. Klausul ini juga
mengharuskan top management menunjuk suatu pihak yang bertanggung
jawab terhadap pembentukan, implementasi dan pemantauan BCMS
organisasi.
27
f. Clause 6: Planning
Klausul ini berisi tentang kebutuhan untuk membentuk/membuat objektif-
objektif stategis dan prinsip pemandu yang akan digunakan pada BCMS.
Klausul ini mengharuskan organisasi untuk mengatasi ancaman, jika
seandainya BCMS tidak dapat/berhasil dibuat, diimplementasikan dan
dipantau dengan baik, termasuk di dalamnya hambatan-hambatan yang
mungkin ditemui, baik dari internal/eksternal, yang mungkin akan
mengakibatkan ketidakefektifan BCMS.
Klausul ini mewajibkan sebuah organisasi untuk mendefinisikan secara jelas
objektif bisnisnya dan memiliki rencana untuk mencapainya.Objektif-objektif
ini harus terintegrasi dengan kebijakan BCM dan terukur.
g. Clause 7: Support
Klausul ini menjelaskan supports (dukungan-dukungan) yang dibutuhkan
untuk membuat, mengimplementasikan dan memantau BCMS yang efektif.
Hal ini meliputi sumber daya yang dibutuhkan, kompetensi pihak-pihak
terkait, kesadaran dan keterlibatan pihak-pihak terkait, dan persyaratan
manajemen dokumen terkait.
h. Clause 8: Operation
Secara umum klausul ini menjelaskan proses pembuatan BCMS, mulai dari
Business Impact Analysis, pembuatan prosedur keberlangsungan bisnis yang
juga meliputi protokol komunikasi internal/eksternal, dan proses pengujian
BCMS tersebut.
28
i. Clause 9: Performance evaluation
Klausul ini menjelaskan bahwa proses pemantauan, pengukuran dan evaluasi
BCMS merupakan input untuk keperluan tinjauan manajemen. Selain itu,
hasil tinjauan manajemen harus dikomunikasikan kepada pihak-pihak yang
terkait.
j. Clause 10: Improvement
Klausul ini menjelaskan bahwa tindakan-tindakan korektif dan preventif yang
sudah dijalankan sebelumnya dan sudah diimplementasikan dan di-review
pada klausul-klausul sebelumnya, harus dipastikan diimplementasikan pada
BCMS.
dalam kaitan dengan model PDCA di atas, maka:
a. Plan, terdiri dari Clause 4, Clause 5, Clause 6, dan Clause 7
b. Do, terdiri dari Clause 8
c. Check, terdiri dari Clause 9
d. Act, terdiri dari Clause 10